|
|
灰鸽子"病毒
病毒特性:
G_Server.exe(即灰鸽子病毒的服务器端)第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务,然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操作)。然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。注意,G_Server.exe这个名称并不固定,它是可以被使用者定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
灰鸽子的手工检测:
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
小结
本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。
冲击波(Worm.Blaster)病毒详细解决方案
警惕程度:★★★★
病毒名称:Worm.Blaster
发作时间:随机
病毒类型:蠕虫病毒
传播途径:网络/RPC漏洞
依赖系统:Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft Windows XP /Microsoft Windows Server 2003
病毒尺寸:6,176 字节
病毒发作现象:
冲击波(Worm.Blaster)病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。
该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象:
病毒详细说明:
1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。
2. 病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。
3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。
4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统时,病毒都会运行。
5. 病毒体内隐藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。
7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。
8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。
9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。
手工清除方案:
一、 DOS环境下清除该病毒:
1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\win dows (或CD c:\winnt)
2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p
3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe
二、 在安全模式下清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。
给系统打补丁方案:
当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。以下是补丁的具体下载地址:
· Windows 2000 :
http://microsoft.com/downloads/d ... &displaylang=en (连接到第三方网站)
· Windows XP 32 位版本 :
http://microsoft.com/downloads/d ... &displaylang=en (连接到第三方网站)
Word问题(不能复制粘贴,word文档变成exe文件):
现象:
不能复制粘贴,word文档变成exe文件
查杀方法:
1、结束任务管理器中的EXPLORER.exe,
2、搜索EXPLORER.exe,或者打开c:/winnt(windows)/sysytem32/
3、找到word图标的EXPLORER.exe,删除掉
4、搜索注册表:开始/运行:regedit
查找:explorer,删除键值是C:\\WINNT\\system32\\EXPLORER.exe(在hkcu/soft
ware/microsoft/windows/current version/run里面)
5、检查一下word是不是可以粘贴和复制了
说明:1、运行第二步时可以打开文件夹选项,使系统显示隐藏文件和扩展名,
注意不要删除错了!
2、移动存储设备注意写保护
IE主页被修改的解决办法:
方法①:
清理一下COOKIES,因为这里面保存了网站的一些信息。方法是:
选项(98下是工具)--internet选项--删除COOKIES
方法②:
用“上网助手”或者“黄山IE修复专家”等软件来修复IE;
方法③:
如果不幸你中毒较深,比如你的注册表被锁,你的控制面板被锁,.......
那向大家推荐一个工具:IE恶性代码杀手 终结者 2005 修正版
方法④:
如果上述的方法还是不能解决问题的话,我们来换种思路解决:
1. 首先,我们在机器里新建一个用户名为aaa(这里任意的用户名都可以)。
2. 注销Administrator用户。改用aaa用户进入系统。
3. 点击“开始”—“运行”。键入regedit。可以打开注册表编辑器。
4. 找到以下路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer。选中“Internet Explorer”。点击表单栏的“注册表”。导出注册表文件。
5. 这时就把aaa用户下的IE设置给导出来了。因为aaa用户是新加入的。所以他的IE设置并没有被更改过。
6. 现在我们切换回Administrator用户登录系统。
7. 点击“打开”—“运行”。键入regedit。依然进入注册表编辑器。
8. 点击表单栏的“注册表”,导入注册表。把刚才保存的那个注册表文件导入进去就可以了。
现在我们再打开IE。发现一切都已经恢复成系统默认的样子了。
方法⑤:如果还是不能解决,只有进入安全模式查杀病毒和木马了(记得把杀软升级到最新的版本)
修复完了以后清除一下注册表里面的可疑项:找到带"RUN"等敏感字眼的键值;
比如:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
最后建议使用遨游浏览器Maxthon
有80%的恶性网页在你点连接后还没打开就帮你过滤掉了。。。
"QQ尾巴(Trojan.QQ3344)"及变种病毒的清除和预防:
该病毒的主要特征:
这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
QQ收到信息如下:
1. HoHo~~ ht tp://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
2. 呵呵,其实我觉得这个网站真的不错,你看看ht tp://www.ktv***.com/
3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你ht tp://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
4. ht tp//www.hao***.com 帮忙看看这个网站打不打的开。
5. ht tp://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?
二、解决方法:
1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
2.随时升级杀毒软件。
3.安装系统漏洞补丁
由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
下载官方iFrame漏洞补丁即可
开始---程序---管理工具---本地安全策略
XP用户:开始---设置---控制面板---管理工具---本地安全策略
IP安全策略中 ---创建IP安全策略---下一步---输入策略名称,你可以取为封25端口---下一步---下一步---到验证方式(你可以选择最后一个,并输入一个密钥串)---再下一步---完成---出来一个属性窗口
属性窗口中---添加--一直按下一步----到验证(选择最后一个,并输入一个密钥串)---下一步---IP筛选器列表中 按添加 (名称自己取,我用的是“阻止25端口”)---新出现的窗口中再按添加---下一步---源地址(我的IP地址)---目的地址(任何IP地址)---选择协议类型为(TCP)---端口设置中选择(从此端口填25,到任意端口 )---确定---关闭
在IP筛选器列表中就多了一项(阻止25端口)---你选中它---按下一步---在此窗口中,如果你以前做过该策略的,有阻止操作选项的,你直接选就可以(如果没有,你点添加,下一步取个名字--为 阻止操作下一步选中 阻止下一步,完成。) 下一步 ---完成---关闭
最后你在刚新建的策略上点 右键,,,选择指派,,,(这样该策略才能生效)
QUOTE:
本设置的作用:通过阻止WINDOWS的邮件服务端口,阻止对外发送邮件(用网页发送还是能发),来防止盗号。 |
|
IP卡
狗仔卡
发表于 2008-2-22 11:58
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2008-2-22 12:33
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
