中毒后遗症 妙手来清除 (二)

**实战排障
** 为了让大家有些具体感官印象,下面就常见病毒简单举些例子。

1.五毒虫
由于该病毒会向注册表的[HKEY_CURRENT _USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]中添加"run"="RAVMOND.exe"键,而有些杀毒软件清除病毒后,并没有删除该键,因此进入系统后,会提示找到不到文件RAVMOND.exe,这时只要删除即可。另外病毒还会创建名为“Windows Management Protocol v.0 (experimental)”和“_reg”的两个服务,服务对应的病毒文件名为msjdbc11.dll 和ondll_server。清除病毒文件后再次进入系统会发现系统出现报错的声音,但并没有文字提示,于是进入“控制面板”,打开“事件查看器”,发现服务运行错误,而服务名就是“Windows Management Protocol v.0 (experimental)”和“_reg”,打开“控制面板→管理工具→服务”,会发现这个“_reg”服务排在最上面,但是微软操作系统默认的“服务”没有以下划线起名的,因此比较容易判断是不是系统或者正常软件“服务”,然后进入注册表[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services]项,找到相关名称删除即可。而“Windows Management Protocol v.0 (experimental)”服务由于名称上有具有一定的迷惑性,因而可能有些用户在这样的情况下不敢轻易删除,其实大可不必,因为“服务”已经出错了,就算不删除也不会正常工作的。

2.MSN尾巴
该病毒会将注册表[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中“Userinit”键的键值从“%System%\userinit.exe”改为“%System%\userinit32.exe”,让用户无法进入系统。解决办法是用系统启动光盘启动到故障修复控制台,然后输入以下命令
cd system32
copy userinit.exe userinit32.exe
重新启动即可(此方法仅适用于Windows 2000/XP)。

关于病毒“后遗症“的处理,是我们每个人都可能会遇到,并值得关注的。由于病毒破坏特点千变万化,而且涉及方面较多(比如病毒导致系统瘫痪恢复系统一块,实际上属于“数据恢复”层面的专业内容)普通用户在一定程度上难以驾驭。所以,经常备份才能保证系统安全。

**漏洞再现:病毒变图片,轻松入侵你的电脑
影响系统:Windows XP SP1/SP2、Windows 2000、IE 6.0 **
在Web网页中右击图片选择“图片另存为”命令保存图像文件时,如果该图像文件名包含多个扩展名,IE默认设置会擅自去除最后的扩展名并保存。利用这一漏洞,入侵者就可以进入你的系统了。
例如,一个包括有恶意代码的图片文件123456.hta.jpg,在另存为后,会保存为123456.hta,而当你不小心执行(打开)123456.hta时,Windows会将该文件解释为HTML文件,并执行其中代码。如果把代码换成木马源代码并加以修改,就成为了木马新的传播途径。可以说这是ActiveX控件漏洞的一个变形利用,因为用户下载图片时代码不运行,所以很有可能避开防火墙和杀毒软件的监视。想想看要是一个壁纸下载网站用了这种方法……
补“洞”方法:目前连Windows XP SP2也难逃这个漏洞,直到截稿时,微软也尚未公布解决补丁。只能通过如下方法来避免被攻击:打开“资源管理器”,将“工具”菜单“文件夹选项”设置中的“隐藏已知文件类型的扩展名”勾选去除。这可避免IE擅自修改文件扩展名,以免出现上述漏洞。

**漏洞再现:几行代码就可判断出系统安装的软件
影响系统:除Windows XP SP2外的几乎所有系统 **
IE在处理"sysimagE://"协议时存在问题,远程攻击者可利用这个漏洞判断目标系统中安装的软件。
比如,攻击者提交如下代码:

1<img onerror="document.write('&lt;b&gt;File Exists!&lt;/b&gt;');" onload="document.write('&lt;b&gt;Cannot Find File!&lt;/b&gt;');" src="sysimagE://C:\WINNT\Notepad.exe,666"/>

如果用户存在这个漏洞就会显示“记事本”的图标。可以看到入侵者很容易的把代码隐藏到正常的网页中。如果把返回的数据保存至数据库中,这样入侵者可以通过判断用户安装的软件(如利用Winamp、Ser-U等软件的漏洞)来进行攻击。
补“洞”方法:截止发稿前微软还位发布任何关于这个漏洞的补丁,IE6.01 SP1以下都受到这个漏洞威胁
(河北 香草天空)

罪犯名称:“证券大盗”木马病毒(Trojan/PSW.Soufan)
案情描述:该木马可以盗取包括南方证券、国泰君安等多家证券交易系统的交易账户和密码,黑客可以恶意操纵被盗股票,将某高价股票以低价卖出,然后自己买进后再转手卖出,赚取中间差价,给被盗股民带来巨大损失。
更为狡猾的是,它每次运行后即“自杀”,并删除自身在系统中留下的文件,达到消毁“罪证”的目的。
该木马曾被添加到某个人网站上(域名与知名搜房网相似),加速了传播速度。目前该网站已经被删除。
抓获方法:升级杀毒软件至最新版本即可查杀。

Published At
Categories with 网络技术
comments powered by Disqus