瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于最近ANI漏洞招致的病毒泛滥问题

1234   3  /  4  页   跳转

关于最近ANI漏洞招致的病毒泛滥问题

收藏
IceWow
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2007-04-02
  • 来自:
发表于: 2007-04-02 19:15 | 短消息 资料
字号: 21楼

十分感謝 斑竹的提醒和建議。不過本人剛接觸電腦不久 不知道以下
(4)用下载工具(迅雷或IDM)接管全部下载任务。凡是浏览网页时提示的文件下载————一律拒绝(因为浏览网页时,我并没要下载任何东西。)
    因該如何設置 拒絕瀏覽網頁時候的文件下載呢?怎麽才能讓迅雷接管所有任務。。。- -#
gototop
 
泉州市市长书记
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2007-04-02
  • 来自:
发表于: 2007-04-02 21:18 | 短消息 资料
字号: 22楼

-.- 光标缺陷画面的那个怎么弄啊..
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-02 21:37 | 只看楼主 短消息 资料
字号: 23楼

引用:
【IceWow的贴子】十分感謝 斑竹的提醒和建議。不過本人剛接觸電腦不久 不知道以下
(4)用下载工具(迅雷或IDM)接管全部下载任务。凡是浏览网页时提示的文件下载————一律拒绝(因为浏览网页时,我并没要下载任何东西。)
    因該如何設置 拒絕瀏覽網頁時候的文件下載呢?怎麽才能讓迅雷接管所有任務。。。- -#
………………

按下图设置。有文件下载时,迅雷会有提示框询问你。如果你当时只是浏览网页,并未下载文件,则拒绝下载。

附件附件:

下载次数:135
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-2 21:37:18
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-02 22:14 | 只看楼主 短消息 资料
字号: 24楼

引用:
【艾玛的贴子】第三方补丁失效,等MS出个大包(这次可算是重大更新吧)

下载工具拦截也烦死,还是看看baohe的规则……

那个补丁站刚被hacked!

有空开QQ吧,有好玩的交流一下:-)
………………

SSM,简单的设置————

附件附件:

下载次数:153
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-2 22:14:28
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-02 22:16 | 只看楼主 短消息 资料
字号: 25楼

SSM,基于那个简单设置而收到的效果(图)。
我不愿意在这里多谈这些。否则,自己底牌都亮出来,这些“法宝”就渐渐失灵了(这个论坛的潜水健将们————有些就是图谋不轨者)。

Tiny规则的设置————不谈了。

附件附件:

下载次数:154
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-2 22:16:03
描述:
预览信息:EXIF信息
gototop
 
coding
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-04-02
  • 来自:
发表于: 2007-04-02 23:27 | 短消息 资料
字号: 26楼

没有大家说得这么复杂,还感染ghost文件~,只不过是感染了其他分区的部分exe文件。然后用ghost恢复了以后,再运行了其他分区的带毒程序,于是就认为ghost有问题吧~

我看过了sysload3的程序,作了个小工具给大家恢复被感染的exe

麦英(SysLoad3.exe)BMW版变种感染的exe文件恢复程序下载地址:
http://mumayi1.999kb.com/pic/2007-04-02/pdhk3he7cb5q1y4sg0bf.rar

注意:空间不支持exe格式,请下载后把后缀由rar改成exe

对其原理感兴趣的朋友可以去看看我的原帖:
SysLoad3.exe的分析
http://codinggg.spaces.live.com/blog/cns!8FF03B6BE1F29212!689.entry

BMW变种的变化
http://codinggg.spaces.live.com/blog/cns!8FF03B6BE1F29212!701.entry
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-04-03 02:16 | 短消息 资料
字号: 27楼

引用:
【taylor05771的贴子】
这个漏洞并不是IE独有的

而是 系统自身存在


只要你用windows 2000以上就存在
………………

存在于user32.dll中
用Opera(火狐我没试)浏览网页之所以不会有影响,只是因为Opera不支持设置动态鼠标图片的网页代码。这算是Opera在对HTML代码效果支持上的“缺陷”,但也正是这个缺陷避免了通过网页恶意代码传播这个方式。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-04-03 02:28 | 短消息 资料
字号: 28楼

引用:
【baohe的贴子】SSM,基于那个简单设置而收到的效果(图)。
我不愿意在这里多谈这些。否则,自己底牌都亮出来,这些“法宝”就渐渐失灵了(这个论坛的潜水健将们————有些就是图谋不轨者)。

Tiny规则的设置————不谈了。
………………

这图一看就知道,是利用MS06-014漏洞的代码最新流行的运行方式之一,用cmd.exe /c来运行下载的病毒文件,下面给出这种恶意代码实现这样运行的部分的例子(前面部分略):

var Q=df.CreateObject("Shell.Application",""); exp1=F.BuildPath(tmp+'\\system32','cmd.exe'); Q.ShellExecute(exp1,' /c '+fname1,"","open",0); } catch(i) { i=1; }

由此也可见猫叔连MS06-014的补丁都没有打,果然是缺了N个补丁。
猫叔的设置代表了一部分HIPS牛人们的方式,不是打全补丁让毒完全进不来,而是一方面测试安全软件,一方面直接抓样本。不过前提是安全防护足够强,而且有足够的经验,即使有意外情况也可及时处理。所以对于一般用户,还是老老实实打补丁的好。
微软这次很可能会提前发布补丁的,大家随时关注。
gototop
 
姑苏残月
头像
叱咤花甲狮
  • 帖子:2464
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-04-03 08:45 | 短消息 资料
字号: 29楼

好玩
gototop
 
姑苏残月
头像
叱咤花甲狮
  • 帖子:2464
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-04-03 08:47 | 短消息 资料
字号: 30楼

引用:
【轩辕小聪的贴子】
这图一看就知道,是利用MS06-014漏洞的代码最新流行的运行方式之一,用cmd.exe /c来运行下载的病毒文件,下面给出这种恶意代码实现这样运行的部分的例子(前面部分略):

var Q=df.Create("Shell.Application",""); exp1=F.BuildPath(tmp+''\\system32'',''cmd.exe''); Q.ShellExecute(exp1,'' /c ''+fname1,"","open",0); } catch(i) { i=1; }

由此也可见猫叔连MS06-014的补丁都没有打,果然是缺了N个补丁。
猫叔的设置代表了一部分HIPS牛人们的方式,不是打全补丁让毒完全进不来,而是一方面测试安全软件,一方面直接抓样本。不过前提是安全防护足够强,而且有足够的经验,即使有意外情况也可及时处理。所以对于一般用户,还是老老实实打补丁的好。
微软这次很可能会提前发布补丁的,大家随时关注。
………………

小聪真好玩
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT