BigSea'Blog

身体下地狱,眼睛上天堂,心灵回故乡。走在路上,那是痛苦的幸福;走过之后,是幸福的痛苦。

病毒

映像劫持分析-ZT

No Comments | 安全技术 | by bigsea | 4201 Views. | 2008, January 16, 9:33 AM

一. 奇怪的中毒现象
在办公室的一台电脑上折腾半个小时后,电脑部的工程师只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死活不肯执行,莫非是在这台机器上被病毒破坏了?他只好打开网页尝试重新下载,但是他很快就绝望了,刚下载的查杀工具同样也不能使用。
无奈之下他只好在众多文员的期待下说出了:“系统文件严重损坏了,没法修了,只能重装。”
装完系统和常用办公软件后,他像一个贼似的赶紧离开了办公室,生怕多呆一会儿就会惹来什么麻烦似的,而他却不知道,“麻烦”早已在他刚才使用的U盘上安家了。回到自己的电脑前,他刚右键点击U盘,就看见鼠标忙碌的状态比平时久了点,然后托盘区里的杀毒软件和网络防火墙都消失了,他心里一慌张,赶紧运行超级巡警,系统却报告“找不到文件”,他一下子呆在了电脑前:瘟神跟上门来了……

» 阅读全文

阅读全文

Tags: 映像劫持 , 病毒

美软件公司报告称中国木马病毒祸害世界

No Comments | 行业新闻 | by bigsea | 2635 Views. | 2007, December 5, 7:15 PM

环球时报消息 美国一家公司最新研究报告称,在祸害全球的特洛伊木马病毒风潮中,中国难辞其咎.
总部位于美国加州圣何塞的网络安全软件公司Finjan最近完成了一份报告,声称发现了多个传播含有用混淆代码内容的组织,以及一个绕过传统安全手段的站点网络.报告竟然称其中一个站点属于中国某政府机构.

    Finjan公司恶意代码研究中心称,该中心在调查了一起使用了零时间漏洞攻击(zero-day exploits)以及其他新黑客技术的网络攻击后,发现了一个位于中国的活跃团体.
   
    该公司研究员称,这个站点网络中的一部分引向带有特洛伊木马病毒的站点,利用浏览器的漏洞在用户电脑里安装恶意软件.一旦用户电脑感染了木马病毒,就开始向网络中的其他网站发送数据.这很难检测,报告说.
   
    木马病毒同时收集用户数据,包括操作系统、应用软件,个人信息和密码等.Finjan公司CEO伊扎克说,反病毒和网址过滤等方法对付这种攻击都能力有限,因为攻击者数量以及网络的复杂结构可以绕过传统的安全技术.
   
    Finjan公司将于本月晚些时候公布报告全文.

» 阅读全文

阅读全文

Tags: 中国木马 , 病毒 , 安全

ARP欺骗病毒爆发 网络用户需提高警惕

2 Comments | 行业新闻 | by bigsea | 4305 Views. | 2007, May 26, 9:04 PM

近日,安天实验室反病毒检测网发现,全国各地出现在局域网内浏览网页,浏览器自动
加载hxxp://16a.us/2.js (病毒名:Trojan-Downloader.JS.Agent.gd)这个脚本的现象。通过
分析,这是由近期活跃的恶意网址7y7.us & ws91.com使用具有arp欺骗功能的病毒传播恶意
代码引起的。

   当用户主机访问正常的网页时,感染病毒的主机都将向其发送包含恶意代码(大多为盗
窃敏感信息的盗号木马)的数据包。通过此种方式,当用户访问任何网页时,浏览器都会试图
执行这些恶意代码,因此具有很大的危害性。同时,为躲避反病毒软件的脚本检测,该病毒进
行了免杀处理,造成大多数反病毒软件无法拦截。

  本次连续恶意事件是由一个小型组织所维护,其开始阶段采用入侵一些有安全漏洞的网站
的方式挂马传播病毒,其经常使用7y7.us & ws91.com这两个域名存放木马,在安全厂商采取
了一些措施后,其开始采用释放具有ARP欺骗功能的病毒,通过发送包含恶意代码的数据包的
方式,试图感染局域网内的主机。

  安天病毒分析工程师建议广大网络用户采用下列策略应对本次病毒事件:

   1.使用安天实验室推出的免费ARP欺骗检测工具(ARP Checker),可以方便的定位引起
    ARP欺骗的主机。
   2.使用安天主机保护系统、木马防线对该病毒及其下载的各种恶意代码进行查杀,请
    用户立即升级病毒库。
   3.网络采用静态的方式配置ARP表,不要使用动态ARP。
   4.企业内部应采用私有加密协议的方式,避免出现问题。
   5.企业网管人员可借助于网络分析工具,对局域网内流量进行抓包分析,对于网卡处于混
    杂模式的主机应重点注意。同时,网管应保存企业内部IP和MAC对照表,这样当出现问
    题时,将很容易判断有那些主机IP和MAC对照关系发生改变。
   6.企业网内屏蔽对www.nice8.org,16a.us,7y7.us等恶意域名的访问,个人用户可在
    主机HOST列表中屏蔽这些域名。

ARP欺骗的危害:

  一、可以影响正常的网络应用,经常出现的因为ARP导致的大规模断网事件,就是因为这
    样的情况造成的。

  二、经济利益的原因,现在很多盗号木马,都包含ARP欺骗的功能,进行了欺骗后,局域
    网内用户的网络游戏,网上银行,QQ等的登陆信息都将发送到这台染毒的主机,病毒
    只需进行数据的收集,就可以盗取这些信息。

  三、传播病毒,此次出现的浏览器弹出hxxp://16a.us/2.js这个现象,就是为了在局域网中
    传播其他恶意代码。攻击者,可能无法攻击有较好防御,漏洞较少的访问量大的门户网
    站。但其可以攻击与其服务器处在同一局域网内的主机,散布具有ARP欺骗功能的病
    毒,通过此种方式,其并不需要修改网页服务器上的页面内容,只需要在正常的数据包
    传输中修改里面的数据,就可以使访问这些网站的主机,感染病毒. 若处在同一局域网
    的一台服务器中毒,就会使得该服务器所在的整个局域网内传输的数据包都被修改,服
    务器越多影响越大.

 

转自 安天实验室

 

arp checker.rar

阅读全文

Tags: 网络 , 病毒 , arp , 安全