May 05 2009

0Day漏洞扫盲贴-暴风影音0Day漏洞

Tag: 金山毒霸admin @ 22:04

国内最流行的媒体播放器——暴风影音0day漏洞被利用,安装暴风影音的用户访问挂马网页运行任意程序金山云安全系统监测到宝马下载者病毒正通过该漏洞迅速传播,受该漏洞威胁的计算机可能超过5000万台。
暴风0day漏洞发展过程:

4.30 国内安全研究者公布暴风影音ActiveX远程溢出漏洞
5.1   金山云安全中心拦截到大量可疑的恶意脚本
5.2   恶意脚本数目增加,经过金山毒霸工程师分析确认为暴风影音最新0day漏洞

暴风0day其他情况
漏洞状态: 0day 官方未修复
安全级别:危险
影响版本:暴风影音2009
漏洞公布的时间:2009-04-30
挂马集团利用的时间:2009-05-01

暴风0day漏洞描述:
当安装了暴风影音的用户在浏览黑客精心构造的包含恶意代码的网页后,可能导致漏洞触发,下载一个恶意木马下载器到受害者电脑,下载器成功运行后,受害者电脑即成为肉鸡,网游、QQ、局域网安全将遭受重大威胁。

如何减轻0Day漏洞的影响?
漏洞虽然不可避免,但仍有方法减轻漏洞特别是0Day漏洞对电脑安全的损害。可以参考以下原则降低安全风险:
1. 坚持最低权限运行必要的计算
特别是企业用户,应尽可能限制客户端在标准用户或受限用户登录,即时系统存在漏洞被利用时,恶意软件也会因为权限不足而无法运行。个人用户如果能够养成这种习惯,被攻击的风险将显著降低。

2. 企业用户应部署防火墙、入侵检测系统等安全解决方案
这些安全解决方案并不能杜绝受到0Day漏洞攻击,但部署必须的可靠的安全访问策略,让安全变得可管理,总比什么办法都没有,一切听天由命要强的多。

3.安装杀毒软件,并及时更新特征库
当攻击代码来袭时,反病毒软件会拦截已知威胁,降低安全风险。

4. 部署漏洞扫描修复工具,及时更新系统补丁。常用应用软件漏洞,可以使用金山清理专家扫描修复,通过金山清理专家这样的第三方漏洞修复工具也可以及时获得最新的安全漏洞咨讯。

5. 启用操作系统的反病毒功能,在windows XP以后的操作系统中,都内置了数据执行保护(DEP)功能,数据执行保护一定程度上可以阻止溢出攻击代码的执行。
数据执行保护.png

6. 安装金山网盾,拦截各种针对web漏洞的攻击。
在最近的几次0Day漏洞攻击中,金山网盾都能成功拦截。

Apr 23 2009

脚本下载器148/文件夹模仿者

Tag: 金山毒霸admin @ 22:31

一、

病毒英文名
病毒中文名
日均感染电脑量
威胁级别
入侵方式

js.downloader.is.148
脚本下载器148
295850
★★
网马下载 U盘传播

  自本月6号发出预警后,脚本下载器148”(js.Downloader.is.148)的感染量曾出现一段时间的增长,随后又迅速下降。但从昨天开始,它又出现了增长态势,感染量逼近30万台次。该毒利用系统漏洞来制造溢出事件,然后下载别的木马,同时它也利用U盘传播。而该U盘病毒不断更新,躲避安全软件的查杀。

  用户使用“系统急救箱”,可对这个U盘病毒的母体进行灭活处理,急救箱运行后,就可以清除该毒的注册表项,令其瘫痪。

  同时,请一定要记得开启清理专家中的U盘免疫功能,避免U盘病毒的自动运行。

  二、

病毒英文名
病毒中文名
日均感染电脑量
威胁级别
入侵方式

win32.troj.fakefoldert.yl.1407388
文件夹模仿者
285690
★★
网马下载 U盘传播

  就像我们在本月20号的预警中预测的那样,“文件夹模仿者”(win32.troj.fakefoldert.yl.1407388)的感染量又开始上升了。昨天的感染量为28万台次,最近几天内,对它须多加留意。

  此毒将自己的图标伪装成系统文件夹的样子,用户在U盘中看到一个陌生文件夹时,多半都会去点击。如此一来,该毒就能实现运行。运行后,此毒会下载一些别的恶意程序,执行多种破坏行为。

  将此毒引入用户电脑的,是一些脚本挂马,一旦它们利用系统安全漏洞攻入电脑,就会立即下载包括“文件夹模仿者”在内的其它恶意程序。

  阻止它们进入系统的最佳办法,当然就是打齐系统补丁。如果对未知漏洞有所担忧,那么可以尝试安装金山安全实验室的“网盾”,根据目前数万名志愿者参与测试的结果来看,该工具可100%拦截未知漏洞

Mar 23 2009

对抗系统感染性病毒

Tag: 金山毒霸admin @ 20:28

一  为什么病毒盯上了我们的系统文件

更诡异,更隐蔽的启动,让日志分析高手也很难找到病毒体

二  常被病毒感染的系统文件有哪些?

(1) 当前流行的机器狗变种感染或者可能感染的系统文件列表

       “\SystemRoot\system32\comctl32.dll
       已经被病毒感染主要功能就是运行debug.Exe下载病毒,其他没啥

       “\SystemRoot\system32\debug.exe
       已经被病毒替换,功能就是下载一堆的病毒体

       “\SystemRoot\system32\tree.com”
       这个也被病毒替换,功能很简单映像挟持常用的安全工具

       “\SystemRoot\system32\userinit.exe”
       “\SystemRoot\twunk_16.exe”
       “\SystemRoot\twunk_32.exe”
       “\SystemRoot\winhelp.exe”
       “\SystemRoot\winhlp32.exe”
       “\SystemRoot\system32\ftp.exe”
       “\SystemRoot\system32\command.com”
       “\SystemRoot\system32\edit.com”
       “\SystemRoot\system32\netstat.exe”
       “\SystemRoot\system32\calc.exe”
       “\SystemRoot\hh.exe”
       这些也可能被病毒修改 ^_^ 偶水平有限还没看懂
         

  (2)曾经被感染的系统文件

       %windir%\system32\user32.dll
       %windir%\system32\mmc.exe
       %windir%\system32\ActXPrxy.dll
       %windir%\explorer.exe
       %windir%\system32\sndrec32.exe
       %windir%\system32\svchost.exe
       %windir%\system32\dmserver.dll
       %windir%\system32\sens.dll
       %windir%\system32\qmgr.dll
       %windir%\system32\mstask.exe
       %windir%\system32\CONIME.EXE
       %windir%\system32\sol.exe
       %windir%\system32\taskmgr.exe
       %windir%\system32\spiisupd.exe

三 这么麻烦干嘛安装光盘里面不是有吗?dllcache目录里面也有备份喔?

(1)不是每个人都有系统安装光盘,有很多朋友不会提取正常的系统文件
    (2)ghost版本系统为了能够将更多的内容放在一张光盘上面,通常会把dllcache里面内容删除

四 对付文件感染性的病毒我能够做什么?

    (1) 下载附件的antivirus.rar解压以后运行其中的log.bat
    (2)  打包上传其中的antivir.7z(直接上传到这个帖子,热心的版主会检查分类^_^

五  我想分享我的经验

    非常欢迎各路英豪,分享你修复系统文件的一些经验和小工具(欢迎领取相应的主题
eg:
    (1)通过Replacer替换系统文件
    (2)通过光盘自带的系统恢复工具台恢复
    (3)通过winpe修复
    (4)利用毒霸的功能+(1)提到的工具替换

Sep 20 2008

网镖放行程序流程中加入可信任认证查询和上报机制,并合入主干

Tag: 金山毒霸admin @ 18:42

上周KIS2008发布的文件整理如下:

1、相关改动:(需要重启)
a、针对监控逻辑的监控名单进行清除规则的优化,使对一些误报过后的软件能及时清除标志,以防引起不能正常使用。
b、监控加速
相关文件:kwatch3.sys、Kwatch.exe、KWatchEx.dll
阅读详情>>

Sep 14 2008

mp3/wma弹窗修复工具

Tag: 金山毒霸admin @ 22:09

软件版本: 1.0.2
软件大小: 1.81 MB
软件性质: 免费
应用平台: WinXP
更新时间: 2008-08-6
下载一 下载二 下载三 下载四 简要介绍: 1.完美去除病毒感染的wma/mp3文件包含的广告;2. 免疫wma/mp3弹出恶意网站 阅读详情>>

Sep 08 2008

伪装360安全卫士43008

Tag: 金山毒霸admin @ 20:11

 病毒的母体进入电脑后,搜索系统%WINDOWS%\system32\目录中是否有360tay.exe文件,如有就中止其进程,然后删除该文件。接着,将自己复制到该目录下,并命名为360tay.exe,完成“偷天换日”。

  随后,该毒将自身注册为系统服务,名为“360Tay”,DisplayName为“360安全防护软件”,伪装成360安全卫士。它一旦运行起来,首先会释放资源区文件,恢复系统的SSDT表,令用户安装的还原软件失效,接着便从病毒作者指定的地址下载大量其它木马文件,或上传用户的某些文件。 阅读详情>>

Sep 01 2008

远程木马172032

Tag: 金山毒霸admin @ 18:11

 该毒进入用户电脑后,就在系统盘%WINDOWS%目录下释放出病毒文件kill.exe和killsetup.exe。病毒在注册表启动项中写入自己的信息,在每次开机时,它会以系统升级服务的名义一同启动。

  当顺利运行起来,该毒就连接到病毒作者指定的远程网址http://qq.3**61.com/,等待黑客的指令。由于该毒已经获取了系统的管理权限,黑客可以执行任何其想要的操作,这对用户来说是很危险的。 阅读详情>>

Aug 29 2008

Win32.Troj.PcStartT.xx.442368-肆意修改快捷方式,让病毒伪装成正常的软件

Tag: 金山毒霸admin @ 21:44

 金山毒霸反病毒专家李铁军表示,病毒制造者在开始菜单程序组里疯狂修改快捷方式。在快捷方式的属性中可以发现目标文件已经被病毒修改为另一个EXE文件,而不是该快捷方式本来要启动的EXE文件。病毒运行后会在客户端自动弹出广告,或者实施其他盗号行为。

  李铁军举例指出,如金山清理专家的快捷方式,正常情况下点击这个快捷方式是打开清理专家,现在,用户一点击清理专家,杀毒软件将报告发现Win32.Troj.PcStartT.xx.442368病毒并删除。因大量快捷方式被这样修改,用户误以为杀毒软件出了问题,启动什么就删除什么。而实际上,这些程序文件一切安好,如手动找到清理专家主程序kasmain.exe,则可以正常运行。

  据了解,Win32.Troj.PcStartT.xx.442368病毒本身并不复杂,但修复被病毒修改的快捷方式较为麻烦,需要一个个手动修改,造成用户极大的困扰。因此反病毒专家提醒广大网民用金山毒霸(未安装用户登录http://www.duba.net免费下载最新版)全盘扫描清除病毒。同时金山毒霸反病毒处理中心仍在密切关注,力求尽早提供更完整的解决方案。
金山毒霸客户服务中心接到大量用户举报:电脑使用过程中,杀毒软件不停删除程序文件,文件启动后即刻被删除。这一反常现象引起金山毒霸反病毒专家的高度重视,经分析,病毒Win32.Troj.PcStartT.xx.442368浮出水面。该病毒可肆意修改快捷方式,让病毒伪装成正常的软件,结果导致杀毒软件频频报毒,影响用户正常工作。

Jul 29 2008

安装卡卡测试版6.0.0.2后可能导致毒霸被删问题的解决方法

Tag: 金山毒霸zhong_yu @ 23:25

金山毒霸2008

问题描述:安装卡卡测试版6.0.0.2后可能导致毒霸被删问题的解决方法
解决方案:安装卡卡测试版6.0.0.2后,在运行毒霸或清理专家扫毒时提示可疑rootkit程序并默认删除源文件以及目标文件的问题。截图如下: 阅读详情>>

Jul 29 2008

金山毒霸2008杀毒套装高级数据修复版如何购买,价格是多少

Tag: 金山毒霸zhong_yu @ 23:24

金山毒霸2008杀毒套装高级数据修复版问题描述:金山毒霸2008杀毒套装高级数据修复版如何购买,价格是多少?
解决方案:您可以去正规电子市场或软件专卖店购买,建议零售价468元/1年升级服务时间。

下一页 »