夜火博客 个人的碎碎念收集箱

由“U盘寄生虫变种gr被截获”想到的一些杀软厂商的问题

夜火:在网上看到的这个文章,感觉这个病毒很“神奇”,或者说这是杀软厂商共有的毛病?蓄意蒙蔽网民,暗中夸大病毒危害,以证明自己的软件很NB?也许我这样说有点不妥,但是各大杀软厂商似乎都利用了大多网民对计算机知识了解不多的“漏洞”,对病毒用一些用户不清楚的专业术语进行描述,导致用户看到后会认为:“这个病毒好厉害啊,有XXX功能什么的,能劫持XX镜像(用户只知道名,而不知道其本质),但是这个杀软厂商出的杀软更厉害啊,连这样的病毒都查的出。”最终导致杀软厂商的杀软销售量直线上升,个人认为,说这些东西P用没有,不如教大家一些常见病毒的防范杀毒常识了,难道他们怕丢了自己的饭碗?授之鱼不如授之以渔。

病毒网络“卫道” 专门删除色情视频

在目前大多数病毒木马都是以获取经济利益为目的趋势下,其中仍然还是不乏一些“另类”的病毒.前不久曾出现一个“爱国”病毒,该病毒会在使用台湾语言操作 系统的目标电脑中弹出一个呼吁“阿扁下台”的消息框.而近日,又出现一个另类病毒“色情终结者”,此病毒发作过程中,会搜索各磁盘里的avi、 mpg、rm、rmvb格式视频文件,如发现其文件名与色情有关,便会将其全部删除,俨然一个网络“卫道士”.据介绍,此病毒通过U盘等储存器和网络传播.病毒运行后,在 %SystemRoot% 目录和 %SystemRoot%System32 目录下生成以当前用户名命名的vbs脚本文件和ini文件,还会在各磁盘根目录下生成同样的vbs脚本文件和,autorun.inf文件.这些vbs文件都是病毒的复制品,病毒将其设置为当用户双击打开盘符或点右键选择资源管理器时运行.同时病毒将自己设置为txt、hlp、chm、reg等类型文件的关联程序,当用户双击打开这些类型的文件时,都会执行病毒程序.

高级恶意软件技术新挑战——突破主动防御

文章作者:xyzreg
作者网站:http://www.xyzreg.net
信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)

这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载
议题介绍:

主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示用户,使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理,并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。

下载地址: xcon2007_xyzreg.rar

彻底杜绝autorun.inf自动运行

  通过注册表编辑器与权限控制结合的办法,可以彻底杜绝双击盘符情况下的autorun.inf调用。  具体的办法如下:   1.开始——运行——regedit;   2.定位到  HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Explorer / MountPoints2

关于“IGM.EXE”病毒紧急公告及解决方案[zz]

夜火:最近的病毒很多,五花八门,无奇不有~在教程吧剑心'Blog看到其在研究IGM病毒,还是个穿还原的,解决不易,转来处理方法,给大家借鉴借鉴: 此病毒可以穿透市面上所有的还原软件。本人曾在虚拟机上安装最新冰点6.3 (单击版本)用病毒样本测试。。都被病毒成功穿透。。可见起危害性如此大。。发上本人的 处理办法。欢迎网友留言以及讨论。。。 在这病毒横行的年代,网络没有绝对的安全;因为总是先有“魔”后有“道”,安全一定是“适度的”。但是,我们并不能因此放任自流,维持“适度”安全离不开建立一套完整的管理和技术保障体系。

Windows自启动方式完全总结[zz]

职业欠钱&zj1244那看到的,转来做收藏之用,以后碰到了难缠的病毒木马等可以查查看~

一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:Documents and SettingsOwner「开始」菜单程序启动

二. 第二自启动项目:

如何根据名称识别计算机病毒

        夜火:经过前2天的熊猫变种worm.nimaya.al事件后,就一直想写个判断病毒类型名称什么的文章,给那个中毒的朋友看看,让中毒的那个朋友学学这方面的知识,好自己亲手解决以后碰到的病毒。今天在中关村在线看到了相关的这篇文章,写的比我想的要全面多了,就转过来了,给那个中毒的朋友,和其他需要的朋友学习学习。

        很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?

  其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

  世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>

.......................

"爱国"病毒惊现互联网

  近日,互联网上出现了一种具有&ldquo;见机行事&rdquo;功能的病毒,与常见的电脑病毒不同的是,这种代码为Win32/KillDPT的病毒,会根据机器的操作系统类型决定中止运行还是入侵破坏,并被誉为&ldquo;专杀其它语种系统,是中国人就安全&rdquo;,以致部分网友惊呼&ldquo;病毒也爱国&rdquo;。

  &ldquo;愤青&rdquo;病毒除了放过简体中文操作系统,对英文系统也网开一面,不过会弹出&ldquo;Yourluck&rsquo;ssogood!&rdquo;的对话框。这显然是句中国式英语,字面直译应该是&ldquo;你运气真好&rdquo;。

熊猫烧香最新变种worm.nimaya.al

这2天事比较多,昨天网站因为非法内容从下午2点多停到晚上近7点,最后开通之后我又不得不把blog里的数据都过滤一遍,所有有可能被封的内容都给删了,其中有几个访问量很大的文章,也删了,导致blog已经达到5W的访问统计缩水到了3W,郁闷。 网上的一个朋友又中了毒,让我帮他看看。中毒原因是U盘感染,杀软里好像只有瑞星能查出来是worm.nimaya.al,熊猫的新变种,还能查出少量的downloader:trojan.dl.nimaya.c ,不得不说瑞星的杀软做的还是不错的~。

节后病毒猖獗 “禽兽不如”使系统变慢

  近日,微点主动防御软件自动捕获一名为“Trojan-Downloader.Win32.KILLAV.a”的木马程序,中毒后会导致任务管理器菜单被屏蔽(图1示),系统自动更新功能被关闭(图2示),锁定IE主页,将系统时间修改为2000年,删除Ghost备份文件*.gho。最为特别的是该黑客竟然恶意修改系统菜单,将显示隐藏文件和文件夹的选项改为“禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽。”(图3示)恶意使用映像劫持技术,使得多种安全软件无法正常运行。但因该病毒编写不够完善,大规模执行reg命令时,可能会造成系统程序reg.exe崩溃(图4示)。感染网页文件,并使用黑客惯用的自动播放功能借助U盘传播。由于该木马程序会在后台自动下载多种盗号木马,此时电脑运行会极为缓慢。

标签: 病毒Virus

作者:夜火 分类:业界新闻 浏览:4583 评论:0

病毒修改系统时间后卡巴斯基不能使用的解决办法

  自从我用上卡巴斯基以后,几年来一直相信卡巴是最强悍的,百毒不侵,火眼金睛。。。。。。  前几天,用办公室的机器运行繁重任务,嫌开着卡巴的监控太慢,就把监控关闭了,然后上网时忘了开了,结果一会儿后机器突然中毒,屏幕上出现了好几个IE窗口(我平常只用MAXTHON的,从来不人工打开IE),内容都是些广告,同时防火墙报告有程序试图下载不明网站上的文件,机器的速度骤然慢得让人无法忍受。。。。。。...........................

用批处理文件抵御ARP攻击

  ARP欺骗通过伪造IP地址和MAC地址实现,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 笔者将介绍四种利用自制批处理文件来防御ARP攻击的方法。  一、把下面语句编成BAT处理文件      @echo off 。。。。。。。。。。。。。。。