博文

[病毒资料之七]winlog.exe进程病毒(2006-08-16 00:21:00)

摘要: 病毒资料:W32/Bagle.FC-mm 基本信息 病毒名称: W32/Bagle.FC-mm 类型: 木马 长度: 35307 威胁级别: 2 捕获日期: 2006-02-15 其它别名: Email-Worm.Win32.Bagle.fc(KAV), WORM_BAGLE.FC(Trend), W32.Beagle.DU(Norton) 影响系统: Windows 98/me,Windows 2K,Windows XP 表现特征 1.系统响应速度相对减慢;

2.存在如下文件:
    %SYSTEM%\anti_troj.exe 
    %SYSTEM%\winlog.dll
    %SYSTEM%\winlog.exe
    %TEMP%\~{RANDOM NUMBER}.tmp 
    %TEMP%\~{RANDOM NUMBER}.exe
    %TEMP%\~{RANDOM NUMBER+1}.tmp 
    %TEMP%\~{RANDOM NUMBER+1}.exe
    注:{RANDOM NUMBER} 为一个随即数字;

3.存在文件夹:%SYSTEM%\exefld\ ;

4.进程列表中存在进程:winlog.exe,~{RANDOM NUMBER+1}.exe ;

行为分析 1.这是一个 PE 病毒,使用 Yoda's Crypter 加壳,加壳后长度为 35,307 字节;

2.创建如下文件:
   ......

阅读全文(7753) | 评论:0

[病毒资料之六]guisetup.exe进程病毒(2006-08-15 00:32:00)

摘要: 病毒资料:W32/Banker.AFJ!tr 基本信息 病毒名称: W32/Banker.AFJ!tr 类型: 木马 长度: 255590 威胁级别: 2 捕获日期: 2006-03-01 其它别名: Trojan-Dropper.Win32.Agent.ajk,PWSteal.Tarno.S,W32/Banker.IWP dropper 影响系统: MS-Windows 表现特征 1. 病毒文件运行后消失;
2. 若用户正在使用 IE ,IE 会关闭;
3. %SYSTEM% 目录下存在文件 msupdate.dll 和 guisetup.exe。 行为分析 1. 这是一个 PE 病毒,使用 Pe_Patch 和 Aspack 加壳,加壳后长度为 255,590 字节;

2. 试图关闭已经打开的 Internet Explorer 浏览器;

3. 试图释放文件 %SYSTEM%\msupdate.dll,%SYSTEM%\svchost.dll(相同文件),病毒名 W32/Banker.AFJ!tr;
   试图释放文件 %SYSTEM%\guisetup.exe,%SYSTEM%\winsetup.exe(相同文件),病毒名 Spy/BDoor;
   并运行 guisetup.exe;

4. 创建目录 c:\cardon,%SYSTEM%\suskn,%SYSTEM%\sucontr,%SYSTEM%\suact;

5. 删除自身。

6. msupdate.dll 和 guisetup.exe 分析如下:

   a) 创建注册......

阅读全文(3392) | 评论:0

[病毒资料之五]srfbryrg.exe进程病毒(2006-08-15 00:11:00)

摘要: 病毒资料:W32/Padobot.M-net 基本信息 病毒名称: W32/Padobot.M-net 类型: 蠕虫 长度: 9728 威胁级别: 2 捕获日期: 2006-03-08 其它别名: Net-Worm.Win32.Padobot.m,W32/Korgo.worm.v virus,WORM_KORGO.V 影响系统: MS-Windows 表现特征 1. %SYSTEM% 目录下存在类似 srfbryrg.exe 的名字为随机字母的文件;
2. Windows Security Manager 和 WinUpdate 被关闭。 行为分析 1. 这是一个 PE 文件,使用一种不常见的壳和 UPX 双重加密,加密后长度为 9,728 字节,无附加数据;

2. 试图删除 ftpupd.exe 文件;

3. 创建有名互斥量 uterm19 ;

4. 试图终止下列进程:
      
      Windows Update
      MS Config v13
      avserve2.exeUpdate Service
      avserve.exe
      Windows Update Service
      WinUpdate
   ......

阅读全文(3197) | 评论:0

[病毒资料之四]svchost.exe进程病毒(2006-08-14 00:25:00)

摘要: 病毒资料:W32/Agent.D!tr 基本信息 病毒名称: W32/Agent.D!tr 类型: 木马 长度: 8192 威胁级别: 2 捕获日期: 2006-03-13 其它别名: Trojan-Downloader.Win32.Agent.agi,Troj/Sickbt-D,TROJ_AGENT.BKE 影响系统: Windows 9X,Windows 2K,Windows XP 表现特征 1、系统目录 %SYSTEM% 下存在文件 sysldr.dll;
2、若系统为 Windows NT(包括 NT/2K/XP 等),会弹出一个命令行窗口,窗口标题为 %SYSTEM%\svchost.exe;
3、如果安装有防火墙,可能会提示进程 explorer.exe 试图访问外部网络; 行为分析 1、这是一个 PE 病毒,病毒文件使用 UPX 加壳,加壳后大小为 8,192 字节;

2、释放出文件 %SYSTEM%\sysldr.dll,这是一个恶意程序,Fortinet 命名为 W32/Sickbt.D!tr,
   它从下列网址下载程序并执行:
     http://www.servicedwt.com/images/backgroung/de/stat.php
     http://idex.colocall.com/pressa/stat.php
     http://contentquick.com/admin/stat.php
     http://www.making-money-on-the-internet-is-easy.com/backup/stat.php
  &n......

阅读全文(5938) | 评论:0

[病毒资料之三]Backdoor.Hesive.C病毒(2006-08-14 00:22:00)

摘要: 病毒资料:W32/Hesive.C!tr 基本信息 病毒名称: W32/Hesive.C!tr 类型: 后门程序 长度: 51037 威胁级别: 2 捕获日期: 2006-03-08 其它别名: Backdoor.Hesive.C(Norton) 影响系统: Windows 98/me,Windows 2K,Windows XP 表现特征 1.系统响应速度减慢;

2.在 Win NT/Win 2K/Win XP 下无其他明显现象;

3.在 Win 9X 下,存在文件:
    %SYSTEM%\{RANDOM CHARS}.dll
    %SYSTEM%\{RANDOM CHARS}.sys
    %SYSTEM%\{RANDOM CHARS}.drv
    %SYSTEM%\{RANDOM CHARS}.log
    注: {RANDOM CHARS} 代表 8 个随机字符组成的字符串;

行为分析 1.这是一个 PE 病毒,病毒长度为 51,037 字节;

2.创建如下文件:
    %SYSTEM%\{RANDOM CHARS}.dll (释放的文件,一个后门程序,Fortinet 检测为:W32/Hesive.C!tr)
    %SYSTEM%\{RANDOM CHARS}.sys (释放的rootkit ,Fortinet 检测为:W32/Hesive.C!tr.rootkit)
   &......

阅读全文(3829) | 评论:2

[病毒资料之二]guisetup.exe进程病毒(转)(2006-08-13 01:01:00)

摘要: 病毒资料:W32/Banker.AFJ!tr 基本信息 病毒名称: W32/Banker.AFJ!tr 类型: 木马 长度: 256614 威胁级别: 2 捕获日期: 2006-03-20 其它别名: Trojan-Dropper.Win32.Delf.ub,Troj/CashGrab-O,PWSteal.Tarno.T 影响系统: Windows 9X,Windows 2K,Windows XP 表现特征 1、系统目录 %SYSTEM% 下存在下列文件:
     guisetup.exe
     msupdate.dll
     wint.ini
     ierror.rep
     sui.dll
     sei.dll

2、存在下列文件夹:
     C:\cardon
     %SYSTEM%\suact
     %SYSTEM%\sucontr
     %SYSTEM%\suskn

3、如果有 IE 浏览器在运行,则会被关闭; 行为分析 1、这是一个 PE 病毒,病毒文件使用 ASPack 加壳,加壳后大小为 256,614 字节;

2、判断当前是否有 IE 浏览器在运行,若有则关闭之;

3、释放出下列文件:
     %SYSTEM%\msupdate.dll (BHO&n......

阅读全文(3232) | 评论:0

[病毒资料之一]lspool.exe进程病毒(转)(2006-08-13 00:48:00)

摘要: 病毒资料:W32/MyTob.EO!worm.im 基本信息 病毒名称: W32/MyTob.EO!worm.im 类型: 蠕虫 长度: 71220 威胁级别: 3 捕获日期: 2006-06-20 其它别名: W32/Mytob-IF, WORM_MYTOB.GS, Trojan.Dropper.Mydoom 影响系统: Windows 9X,Windows 2K,Windows XP 表现特征 1、系统目录 %SYSTEM% 下存在文件 lspool.exe;
2、系统进程列表中存在一个 lspool.exe 进程;
3、如果安装有防火墙,则会提示该进程试图访问外部网络; 行为分析 这是一个 Dropper,大小为 71,220 字节,运行时释放出文件 %TEMP%\temp.exe 并执行,此文件是个恶意
程序,Fortinet 命名为 W32/Mytob.IF@mm,其行为分析如下:

1、这是一个 PE 病毒,大小为 65,536 字节;

2、创建有名互斥量 "gfbgslkvtgf",防止多个相同病毒进程被运行;

3、将自身拷贝为 %SYSTEM%\lspool.exe 并在注册表路径:

     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

   下创建自启动项:

     "Local Spooler" = "lspool.exe"

4、添加注册表项:

 &n......

阅读全文(3322) | 评论:0

[密码攻防实战]CMOS密码篇(转)(2006-07-09 12:04:00)

摘要: 要说密码。首先就是CMOS密码了。CMOS(本意是指互补金属氧化物半体存储器,是一种大规模应用于集成电路芯片制造的原料)是电脑主板上的一块可读写的RAM芯片,主要用来保存当前系统的硬件配置。CMOS RAM芯片由系统通过一块后备电池供电,所以无论是开关机状态中,CMOS的信息都不会丢失。既然CMOS的信息不会丢失,那么它的安全性应该是很好了。所以,我们还是先来设置一下CMOS密码吧。   设置CMOS方法如下:   1.启动计算机,在计算机正在启动时不停地按DEL键(注意,是不停地按动,而不是按住不放),直到出现CMOS SETUP界面(有的计算机进入CMOS的快捷键不是DEL,例如康柏就是F2,需要看情况而定);   2.用键盘上的光标键选择SUPERVISOR PASSWORD项,然后回车,出现ENTER PASSWORD后,输入密码再回车,这时又出现CONFIRM PASSWORD,在其后再次输入同一密码(注:该项原意是对刚才输入的密码进行校验,如果两次输入的密码不一致,则会要求你重新输入);   3.用光标键选择USER PASSWORD项后回车,同上面一样,密码需输入两次才能生效。以上设置的两个密码分别为设置密码和修改CMOS SETUP密码,建议两个均取同一密码,以便记忆;   4.选择DIOS FEATURES SETUP项回车,用光标键选择SECURITY OPION项后用键盘上的PAGE UP/PAGE DOWN键把选项改为SYSTEM(设定为SYSTEM的目的是让计算机在任何时候都要检测密码,包括启动机器), 然后按ESC键退出;   5.选择SAVE&EXIT SETUP项回车,出现提示后按Y键再回车,以上设置的密码即可生效。   听说COMS密码的安全性不是很高,有很多种方法可以破解,先不管那么多了,就当这是第一重障碍吧。就看Jackeroo怎么接招了。  嘿嘿……他以为在CMOS里面设置了密码就高枕无忧了,看看我如何对付吧: 第一招,Debug大法   先看看是否可以进入系统,只要他在CMOS设置中设置的密码检测不是“System”(进入系统之前总是要密码),我就可以进入系统,然后加以破解,方法嘛?   软盘启动(当然我的软盘上边有Debug这个超级软......

阅读全文(3053) | 评论:0

[黑客]最全的加密,解密基础教程(转帖)(2006-05-20 20:49:00)

摘要: 最全的加密,解密基础教程 

基础教程
 
 
第一章 使用规则
1-1  前  言
  要学会解密之前 ,您必须了解什么是加密 ,如何加密 ,以及跟踪程序,这样对于解密就再也不是梦想 ,使用的工具只有 DEBUG.COM ,不过现在的程序一般都会检测有无载入 DEBUG ,若有则死机!!
1-2 DEBUG 与文件
  学过 DEBUG 的人都知道以下的指令 :
    T      --- 单步执行 ,一次执行一个指令
    G <Address> --- 执行到 <Address> 就停下来
    G      --- 执行完载入的程序
或 "W 用)
    L      --- 载入文件(LOAD)
    W      --- 写入文件(SAVE)
    W      --- 写入文件(SAVE)
  大部份解密过程只用到上列指令.....
  ==================================================
  文件分为.COM 与.EXE ,因为.COM 最大只能有 64K 所以演生出.EXE 文件。但是.EXE又有个文件头 ,记录文件放在那儿所以 DEBUG 无法写回此种文件 ,而产生错误信息。
  ※因此EXE文件必须用 PCTOOLS 将指令码找出来改....
 
第二章 磁盘格式与保护
2-1 磁盘格式
  大多数人认为磁盘只有分几道、两面而已 ,其实又细分了更多的东西2D 的磁盘有 39 道 ,2HD 的磁盘有 80 道 ,每一道又分为9个扇区 ,每个扇区又再分 512 个位元组 ,因此要做保护只要和正常道不同即可。
  (PS: DOS2.0每道8个扇区 ,DOS3.1以上版本才是9个扇区)
  磁道(TRACK) : 磁盘上分成数个同心圆环 ,便称磁道
   面(Head) : 软盘分为 0/1 面 ,但硬盘可能超过此数字
 扇区(SECTOR) : 磁道上储存数据区域之一
     N 值 : 扇区大小 ,正......

阅读全文(4168) | 评论:0

[黑客]免费在线电影破解(转帖)(2006-05-20 20:45:00)

摘要: 免费在线电影破解 
其实稍懂一点网页制作的朋友都知道破解在线电影的最好方法就是把页面保存下来,然后用网页编辑软件将保存的页面打开,再找出其中的url链接即可
  这显然是一个很不错的办法,但也有不管用的时候,有些网站,特别是官方网站,会千方百计地让你无法下载网页或是查看源代码,如在源代码中加以限制,右键的屏蔽,使用java链接,使用控件播放,或是php,asp等动态网页技术等
  这时候就要用掉线法来破,破之前最好有个理想的播放器,这里建议使用realone player,它是目前最好的网络流媒体播放器,几乎支持所有的媒体文件格式。
  虽然很多人都知道,但还是先在这里先介绍一下破屏蔽右键的方法,可以先点住右键不放,这时会弹出警告框,然后将鼠标移动到确定按钮上点击,然后回到你所选的目标上松开右键,菜单回来了,如果你只是想要获得一个连接,可以简单的使用拖放方法将其拖至flashget或是netants的浮动窗口就,可以再新建下载任务框中得到连接
  下面说一下媒体指向文件,这些文件的后缀名通常是.asx .pls .smi .ram
  其中.asx文件指向.asf文件,.pls文件一般指向一个php播放列表.smi主要指向rm文件,指向文件常常用来掩盖文件的真实地址,比如你虽然有办法查看原代码,却只能得到一个http://www.***.com/****/****.smi的连接,使用flashget或是netants甚至是streambox下载时,都无法找到其真实地址,下载后发现是一个.smi的文件,用文本编辑器打开,发现虽然有部分代码,但没有你要的连接,所以只能在线播放
  其实破解后多数是一个rtsp协议的连接 .asx文件就容易些,一般用streambox下的时候都能找到对应的.asf文件的真实地址。.ram文件一般也可以,如果不行的话,改成.rm,还是不行,就老老实实把下载的.ram文件用文本编辑器打开,不要被它的文件类型所迷惑,其实是个纯文本文件。
  掉线法顾名思义其实很简单,下面说一下方法:首先用realone播放你想要的文件,然后打开网络连接属性窗口,把本地连接禁用,或者你用防火墙的禁止访问也可以,只要令其掉线就可以,马上就会弹出一个窗口,里面就是文件的真实......

阅读全文(3338) | 评论:2