木马病毒分析

各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，一个不行，再来一个，总之似乎不找到"元凶"誓不罢休一样，结果病毒软件是用了一个又一个，或许为此人民币是用了一张又一张，还是未见"元凶"的踪影，其实这未必就是病毒在作怪。 　　这样的例子并不少见，特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒，希望对帮助识别"真毒"有一定帮助！ 　　病毒与软、硬件故障的区别和联系 　　电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。 　　症状 病毒的入侵的可能性 软、硬件故障的可能性 　　经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。 　　系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。 　　文件打不开：病毒修改了文…

N种手段 快速判断你的电脑是否含毒 各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，一个不行，再来一个，总之似 乎不找到"元凶"誓不罢休一样，结果病毒软件是用了一个又一个，或许为此人民币是用了一张又一张，还是未见"元凶"的踪影，其实这未必就是病毒在作怪。 　　这样的例子并不少见，特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒，希望对帮助识别"真毒"有一定帮助！ 　　病毒与软、硬件故障的区别和联系 　　电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。 　　症状 病毒的入侵的可能性 软、硬件故障的可能性 　　经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。 　　系统无法启动：病毒修改了硬盘的引导信息，或删除了某些启动文件。如引导型病毒引导文件损坏；硬盘损坏或参数设置不正确；系统文件人…

Linux系统病毒防治 一、Linux病毒的历史1996年出现的Staog是Linux系统下的第一个病毒，它出自澳大利亚一个叫VLAD的组织。Staog病毒是用汇编语言编写，专门感染二进制文件，并通过三种方式去尝试得到root权限。Staog病毒并不会对系统有什么实质性的损坏，它应该算是一个演示版，但它向世人揭示了Linux可能被病毒感染的潜在危险。Linux系统上第二个被发现的病毒是Bliss病毒，它是一个不小心被释放出来的实验性病毒。与其它病毒不同的是，Bliss本身带有免疫程序，只要在运行该程序时加上“disinfect-files-please”选项，即可恢复系统。如果说刚开始时Linux病毒向人们展示的仅仅是一个概念，那么，在2001年发现的Ramen病毒，则已经开始引起很多人的担心。Ramen病毒可以自动传播，无需人工干预，所以和1988年曾使人们大受其苦的Morris蠕虫非常相似。它只感染RedHat6.2和7.0版使用匿名FTP服务的服务器，它通过两个普通的漏洞RPC.statd和wu-FTP感染系统。表面看来，这不是一个危险的病毒，它很容易被发现，且不会对服务器做出任何有破坏性的事情。但是当它开始扫描时，将消耗大量的网络带宽。从1996年至今，新的Linux病毒屈指可数，这说明Linux是一个健壮的、具有先天病毒免疫能力的操作系统。当然，除了其自身设计优秀外，还有其它的原因。首先，Linux早期的使用者一般都是专业人士，就算是今天，虽然其使用者激增，但典型的使用者仍为那些有着很好的电脑背景且愿意帮助他人的人，Linux高…

冲击波 ( Worm.Blaster ) 【病毒类型】蠕虫病毒 　　【依赖系统】 WINDOWS 2000/XP 　　【传播途径】网络/RPC漏洞 　　【病毒症状】 　　"冲击波"病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒！漏洞存在于Windows NT、Windows 2000、Windows XP和微软最新主要操作系统Windows Server 2003。 　　受感染的机器将会出现下列症状： 　　1、死机或重新启动计算机或显示60秒倒计时关机； 　　2、IE浏览器不能正常地打开链接； 　　3、不能复制粘贴； 　　4、有时出现应用程序，比如Word异常； 　　5、网络变慢； 　　6、最重要的是，在任务管理器里有一个叫"msblast.exe"的进程在运行！ 　　【病毒危害】 　　系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。 　　【感染步骤】 　　病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM RPC缓冲区漏洞攻击该系统。 　　【杀毒方法】 　　1. 病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁，补丁地址： 　　http://www.pc558.net/down/html/96.html 　　2. 病毒运行时会建立一个名为："BILLY"的互斥量，使病毒自身不重复进入内存，并且病毒在内存…

病毒和细菌的区别，人体免疫的三道防线，及抗生素 一、病毒和细菌的区别 1、大小 细菌是一种单细胞生物体，有完整的核糖核酸（RNA）和脱氧核糖核酸（DNA）基因序列。 病毒是被蛋白质外壳覆盖的RNA或DNA的一部分。因此，细菌比典型的病毒至少大一百倍。 2、繁殖方式 细菌是完全独立并且自生的单元，在适当时候，细菌能将DNA和RNA遗传物质一分为二，围绕这两个新细菌会分别构建细胞壁，并且该过程能持续进行，直到形成成千上万个细菌，所以，地球上几乎所有环境中（甚至包括塑料或岩石等非生物表面）都存在菌株。 病毒在没有活宿主的情况下不能繁殖。病毒可以潜伏数千年，直到接触到合适的宿主。一旦进入宿主体内，病毒会附属钳住细胞，并用刺状物或化学涂层穿透细胞壁。病毒进入活细胞后，会用其自身的遗传指令替代原有的细胞DNA或RNA指令。这些指令通常是尽可能多的制造病毒副本。一旦个体细胞失去效用，会爆炸并向未察觉的细胞发送数千份原始病毒副本。 细菌中已知的99%对人类有益或至少无害，它们每天都在分解有机物并摧毁有害寄生虫，例如，腐生细菌是生态系统中重要的分解者，使碳循环能顺利进行；部分细菌还会进行固氮作用，使氮元素得以转换为生物能利用的形式，例乳酪及酸奶和酒酿的制作、部分抗生素的制造、废水的处理等，都与细菌有关。只有一小部分细菌被认为对人体有害，如链球菌、大肠杆菌等（肺结核病、炭疽病、鼠疫等）。细菌以人体组织为食，并排出毒素和酸，正是这些毒素和酸性刺激物导致许多与细菌感染有关的问题。 细菌和人体主要为寄生关系，大多数细菌有自己的代谢系统，例如…

逝去的2006年是病毒肆虐的一年，在漫长的、饱受摧残的日子中，我们进入了2007。新的一年到处是新的景象，然而病毒却依旧，还是那么的疯狂、变态、没人性…… 就在今天早上，正在网上搜索资料，突然看到有什么忽闪了几下，然后没了动静，我马上意识到又中毒了，这种病毒在公司遇到过，厉害啊，首先干掉诺顿，并且连“任务管理器”也不让你使用了，我把鼠标移到系统栏的诺顿的图标上，果然，图标马上消失了，tnnd果然中了那可恶的病毒。于是断开网络、关闭所有程序，运行“落雪专杀工具”和“威金专杀工具”，呵呵，幸亏动作快，这两个专杀工具马上抓住了可疑份子，杀掉了，然后重复查杀数次，确定没有了，然后再重启系统，启动后再次查杀，终于，病毒被干掉。这是无数次对抗中的一次小小的胜利，哈哈，小样，别惹我！ 事后分析，应该是打开了某个带有病毒的网页造成的，以后要小心啊，不熟悉的网站不能随随便便上了。 强烈推荐去江民下载最新的“落雪专杀”和“威金专杀”工具，那是相当好用啊。

节假日历来是电脑病毒的高发期，今年的“五一”小长假也不例外。但是今年的“五一”期间，会有一个篡改系统文件，能导致用户电脑系统崩溃甚至蓝屏的恶性病毒发作。 4月28日，瑞星公司发布2009年度第一个黄色安全警报：“酷酷”病毒（Win32.KUKU）会感染exe文件，将在5月1日的X时X分发作（如：10点10分），中毒电脑在当天开机后，桌面上会出现一层黑色的阴影，并且弹出对话窗口：“Hey, Lamer! Say "Bye-bye" to yourdata!”（嘿，弱智，跟你的数据说再见吧！），这时电脑上的EXE文件就会被病毒感染破坏，如果破坏程度严重，则再开机时电脑将无法启动。 http://safe.csdn.net/uploads/images/090428/_115140910.jpg （“酷酷”病毒运行后弹出恐吓用户的界面） 病毒分析报告 病毒名：酷酷病毒变种KI(Win32.KUKU.ki) 病毒毒类型：感染型病毒 病毒运行后，首先解密病毒代码，并且执行。释放文件"oledsp32.dl_"和"oledsp32.dll"到system32目录下，随后加载动态库"oledsp32.dll"（该文件完成了病毒的主要功能）。如果检测到用户的系统时间为5月1日的X时X分，则会在用户的桌面覆盖上一层黑色的阴影，并且弹出一个内容为"<<<<< Hey, Lamer! Say "Bye-bye" to yourdata!>>>>>"（嘿，弱智，跟你的数据说再见吧！）的对话…

1.教材总结 恶意代码分类 通常为泛指，即包括病毒（Virus）、特洛伊木马（Trojan Horse）、蠕虫（Worm）、宏病毒（Macro）、后门程序（BackDoor）、黑客软件/工具（Hacker）、间谍程序（Spyware）、广告程序（Adware）、玩笑程序（Joke）、恶作剧程序（Hoax）等等有害程序及文件（Malware）。 什么是计算机病毒 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎 仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。 可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为 制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制 并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒 所相似之处是能够…

报告概要：脆弱的互联网 疯狂的电脑病毒 　　瑞星公司的统计、研究表明，目前的互联网非常脆弱，各种基础网络应用、电脑系统漏洞、Web程序的漏洞层出不穷，这些都为黑客/病毒制造者提供了入侵和偷窃的机会。普通网民的基础上网应用包括浏览网页（搜索）、网上银行、网络游戏、IM软件、下载软件、邮件等，都存在着或多或少的安全漏洞，除了其自身的安全被威胁之外，同时也成为病毒入侵电脑系统的黑色通道。 　　与此同时，病毒产业链越来越完善，从病毒程序开发、传播病毒到销售病毒，形成了分工明确的整条操作流程，这条黑色产业链每年的整体利润预计高达数亿元。黑客和电脑病毒窃取的个人资料从QQ密码、网游密码到银行账号、信用卡帐号等等，包罗万象，任何可以直接或间接转换成金钱的东西，都成为黑客窃取的对象。 　　通过分工明确的产业化操作，中国大陆地区每天有数百甚至上千种病毒被制造出来，其中大部分是木马和后门病毒，占到全球该类病毒的三分之一左右。 　　最初的病毒制造者通常以炫技、恶作剧或者仇视破坏为目的；从2000年开始，病毒制造者逐渐开始贪婪，越来越多地以获取经济利益为目的；而近一两年来，黑客和病毒制造者越来越狡猾，他们正改变以往的病毒编写方式，研究各种网络平台系统和网络应用的流程，甚至杀毒软件的查杀、防御技术，寻找各种漏洞进行攻击。除了在病毒程序编写上越来越巧妙外，他们更加注重攻击“策略”和传播、入侵流程，通过各种手段躲避杀毒软件的追杀和安全防护措施，达到获取经济利益的目的。 　　在2007年上半年瑞星全球病毒监测网截获的所有病毒中，明显针对国内用户、或是明显带有“…

　　近日发布的权威报告显示，２００６年新电脑病毒猛增。 　　近日，肆虐互联网的“熊猫烧香”病毒开始出现大量变种，又化身“金猪”，危害指数再度升级，被感染的电脑中不但“熊猫”成群，而且 “金猪”满圈。反病毒专家表示，按照目前病毒及变种的破坏程度，威胁将延续至春节。按感染电脑的数量来看，“熊猫烧香”病毒已成为２００６年度的“毒王”。 　　一段时间以来，“电脑病毒”成为一个高频词。提心吊胆之余，人们不禁要问：是谁制造了这些病毒？又为什么要加以传播？我们的电脑安全该如何保障？或许，“熊猫烧香”的案例能带给我们一些启示和思考。 　　病毒现身　危害严重 　　全国通缉“熊猫烧香” 　　这些天找史瑀很难，两个多月以来，这位瑞星公司的反病毒工程师忙得像陀螺一样团团转。他表示，目前公司每天接到的求助申请仍有好几百次，而再早些天，每天达上千次。 　　史瑀第一次见到“熊猫烧香”，是２００６年１１月，在专门诱捕病毒的服务器上，他和同事们发现了一种新病毒：感染后的电脑出现瘫痪，屏幕上出现一排排熊猫图案，熊猫们手持三炷香，合十作揖。 　　病毒被称作“尼姆亚”，当时还不是特别厉害。但一个多月后，感染的高峰到来。病毒出现了百余个变种、４００多个不同样本，数以千计的企业受到侵害，数以百万计的个人用户“中招”，有的单位和网吧数百台电脑同时中毒。一些著名网站的网页上潜藏的病毒，随着用户的点击迅速扩散…… 　　一时间，电脑用户谈“熊猫”色变。深受其害的网民发帖“通缉”病毒制造者，更有网民…

勒索病毒与挖矿白皮书 2022-05-21 09:18·安全杂货铺 ─勒索病毒 2018勒索病毒白皮书政企篇 奇安信.pdf 2020上半年勒索病毒报告 腾讯安全 06.pdf 2020上半年勒索软件洞察报告 深信服千里目安全实验室.txt 2021 年上半年全球勒索软件趋势报告 安恒.pdf 2021上半年勒索病毒趋势报告 深信服.pdf 2021上半年勒索病毒趋势报告及防护方案建议 腾讯安全.pdf 2021年勒索攻击特征与趋势研究白皮书 腾讯安全 15.pdf 2021年勒索病毒流行态势报告 360.pdf 2021年度勒索病毒态势报告 深信服.pdf 2021年针对性勒索攻击活动报告 华三.docx 2021年针对性勒索攻击活动报告最终版.pdf 信众智 - 2021 - 面对勒索软件之中国最佳实践白皮书.pdf 勒索病毒应急与响应手册V1.0（2019） 安恒.pdf 勒索软件防范指南（2021）CNET.pdf 应急响应勒索病毒自救手册2.0（2019年） 奇安信.pdf ─挖矿 05《2020挖矿木马年度报告》.pdf 2018年云上挖矿分析报告 阿里云.pdf 2020挖矿木马年度报告 腾讯安全05.pdf 亚信 - 2022 - 挖矿病毒专题报告.pdf 亚信 - 挖矿病毒的危害及其防治 - 20220429.pdf 腾讯安全 - 2020挖矿木马年度报告.pdf

今天机房病毒大规模爆发了，全面掉线，杀来杀去，最后发现是一个名叫ntfs.dll病毒，病毒相当可恶，导致电脑启动只有一张桌面壁纸，剩下什么都没有了，而且还破坏我们的还原卡，还原卡被它弄得直接不起作用了，郁闷死了，重启也没有用，弄来弄去，最后用360安全卫士修复好了，没有桌面的问题也按另一篇有关和病毒作斗争的日志中的方法修复好了！下面是有关病毒的介绍，可以参考一下吧。 ntfs.dll病毒ntfs.dll木马病毒分析： ntfs.dll病毒是机器狗病毒的一种 病毒名称：Trojan/Agent.pgz 中 文 名：机器狗 病毒类型：木马 危害等级：★★★ 影响平台：Win 9X/ME/NT/2000/XP/2003 病毒运行特征： “机器狗”病毒运行后，会在%WinDir%System32drivers 目录下释放出一个名为pcihdd.sys 的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就破解了还原系统的保护，使冰点、硬盘保护卡实效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞，从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。 上网下载一个专杀工具，或者使用360安…

1 比较法 　　比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单（比如Debug的D命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP、FC或PCTOOLS等其他软件）。这种比较法不需要专用的查计算机病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快，新的计算机病毒层出不穷，由于目前还没有做出通用的能查出一切计算机病毒，或通过代码分析，可以判定某个程序中是否含有计算机病毒的查毒程序，发现新计算机病毒就只有靠比较法和分析法，有时必须结合这两者来一同工作。 　　使用比较法能发现异常，如文件的长度有变化，或虽然文件长度未发生变化，但文件内的程序代码发生了变化。对硬盘主引导扇区或对DOS的引导扇区做检查，比较法能发现其中的程序代码是否发生了变化。由于要进行比较，保留好原始备份是非常重要的，制作备份时必须在无计算机病毒的环境里进行，制作好的备份必须妥善保管，写好标签，并加上写保护。 　　比较法的好处是简单、方便，不需专用软件。缺点是无法确认计算机病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是由于计算机病毒造成的，或是由于DOS数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确证是否存在计算机病毒。另外，当找不到原始备份时，用比较法就不能马上得到结论。从这里可以看到制作…

在政府、医院内网，依然存在着一些很古老的感染性病毒，如何保护电脑不受病毒感染，总结了几种预防措施 0×00 前言 蠕虫病毒是一种十分古老的计算机病毒，它是一种自包含的程序（或是一套程序），通常通过网络途径传播，每入侵到一台新的计算机，它就在这台计算机上复制自己，并自动执行它自身的程序。 常见的蠕虫病毒：熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。 0×01 应急场景 某天早上，管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接，内网环境，无法连通外网，无图脑补。 0×02 事件分析 在出口防火墙看到的服务器内网IP，首先将中病毒的主机从内网断开，然后登录该服务器，打开D盾_web查杀查看端口连接情况，可以发现本地向外网IP发起大量的主动连接： 通过端口异常，跟踪进程ID，可以找到该异常由svchost.exe windows服务主进程引起，svchost.exe向大量远程IP的445端口发送请求： 这里我们推测可以系统进程被病毒感染，使用卡巴斯基病毒查杀工具，对全盘文件进行查杀，发现c:\windows\system32\qntofmhz.dll异常： 使用多引擎在线病毒扫描（http://www.virscan.org/） 对该文件进行扫描: 确认服务器感染conficker蠕虫病毒，下载conficker蠕虫专杀工具对服务器进行清查，成功清楚病毒。 1、发现异常：出口防火墙、本地端口连接情…

第一节、电脑病毒疫情统计和分析 一、2007上半年电脑病毒数量统计 2007年上半年瑞星公司共截获新病毒133717个，其中木马病毒83119个，后门病毒31204个，两者之和超过11万，相当于去年同期截获的新病毒总和。这两类病毒都以侵入用户电脑，窃取个人资料、银行账号等信息为目的，带有直接的经济利益特征。从统计数据看来，今年上半年的病毒数量比去年同期增加11.9%。 http://it.rising.com.cn/Channels/imgs/h000/h11/img200707251107090.png http://it.rising.com.cn/Channels/imgs/h000/h11/img200707251107290.png 二、毒王、十大病毒和疫情介绍 根据瑞星公司的统计分析，今年上半年全国约有3500多万台电脑曾经被病毒感染，占到上网电脑数量的一半以上，中国大陆地区已经成为全球电脑病毒危害最严重的地区。 其中，以U盘为主要传播途径的“帕虫”病毒成为新的毒王，“威金”病毒和“熊猫烧香”分列第二、第三位。在各省疫情方面，广东省以368余万台次的数量领先，山东、北京等省市紧随其后。本次统计的前五个省市，染毒计算机都超过了200万台次。 十大病毒排名如下： 1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫） 2、威金蠕虫（Worm.Viking） 3、熊猫烧香（Worm.Nimaya；又称尼姆亚） 4、网络游戏木马（Trojan.PSW.OnlineGames） …

3月31日，瑞星全球反病毒监测网截获一个与“熊猫烧香”非常相似的高危病毒，命名为“ANI蠕虫（Worm.DlOnlineGames.a）”。该病毒不光传播和危害方式与“熊猫烧香”病毒非常相似，还利用了上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞。根据瑞星客户服务中心的统计，短短24小时内，已接到大量用户的求助。鉴于该病毒可能会广泛传播并且危害较为严重，瑞星发出今年第一个“橙色安全警报”（二级）。 瑞星反病毒专家分析，被“ANI蠕虫”感染的电脑会从网上下载多种木马、后门病毒，使得用户游戏等账号被盗，或者电脑变成被黑客控制的“肉鸡”。同时，染毒电脑还会发出大量带毒邮件，邮件的题目是：“你和谁视频的时候被拍下的？给你笑死了！”邮件内容为“看你那小样！我看你是出名了！你看这个地址！你的脸拍的那么清楚！你变明星了！http://****.microfsot.com/***/134952.htm”，收到邮件的用户点击这个网址就会被感染。 瑞星工程师发现，病毒作者使用国内某网站的邮箱散发病毒，并且邮件内容也为中文，因此基本可以确定该病毒为国人编写。此外，该病毒跟“熊猫烧香”病毒一样，也会感染网页文件并加入病毒代码。如果网站编辑的计算机被该病毒感染，将网页文件上传到网站，那么访问该网站用户就会被感染。 更为严重的是，“熊猫烧香”利用的是老的系统漏洞，用户安装好系统补丁就可防范；而“ANI蠕虫”病毒则采用了上周才被发现的ANI漏洞进行传播，该漏洞存在于Windows Vista、XP等主流操作系统中，目前微软还没有…

VirusTotal 是一款可疑文件分析服务, 通过各种知名反病毒引擎, 对您所上传的文件进行检测, 以判断文件是否被病毒, 蠕虫, 木马, 以及各类恶意软件感染. 特点: 免费, 独立的服务 使用多种反病毒引擎 实时自动更新病毒定义库 每款反病毒引擎都将显示详细的结果 实时全球统计数据 VirusTotal 在电脑世界杂志(美国版)所评选的安全网站类别中,荣获 2007 年最优秀的 100 款产品之一的称号. The 100 Best Products of 2007. 文件分析地址:http://www.virustotal.com/zh-cn/

#客户中了该病毒，本想找病毒样本来看看，可是没找到样本，发现中这个病毒的案例还是相对较少； #国内好像没有对于该病毒没有比较详尽的病毒信息，特此写一下方便后者； #中招表现：目前所能够发现的是能够对浏览器影响(没有病毒样本，我是远程协助处理)在访问网站的时候会弹出如下带有印尼语的图片，影响正常网站正常浏览，这里需要简单说明一下，可能有的小伙伴不懂会以为网站被篡改所导致的，其实不是(可以使用同样的方式去访问一个站点你会发现别的机器没有弹)这其实只是因为客户端中毒导致浏览器被病毒影响导致的； 然后会在电脑中产生非常多的与计算机文件夹相同的exe程序，例如 C:WINDOWSl208622.exe C:WINDOWSSystem32551621078306l.exe
 C:WINDOWS47040*.*
 C:Documents and SettingsAdministratorTemplates7170*.* 注意观察windows是c盘下的文件夹，然后在此基础多了一大串的数字，所以有两个特征，一个是跟系统的文件夹名称相同，另一个是后面会多出一大串的数字。 目前此病毒没有发现会对内网进行传播及破坏，更像是一个顽皮的黑客开的一场玩笑； 图片内容原文&翻译： 原文(印尼语)： ketika aku kehilangamu segenap, alam semesta bersatu membantuku menemukamu. apapun perasaanmu ke pasdaku, tidak akan meru…

0x00 定义: 防病毒网关是一种网络设备，用以保护网络内（一般是局域网）进出数据的安全。主要体现在病毒杀除、关键字过滤（如色情、反动）、 垃圾邮件阻止的功能，同时部分设备也具有一定防火墙（划分Vlan）的功能。 安全网关类设备在应用层和网络层上面都有防火墙的身影，在第三层上面还能看到VPN作用。而防病毒网关这种安全网关作用在第二层，即数据链路层。 0x01 主要功能: 1、病毒杀除 2、关键字过滤 3、垃圾邮件阻止的功能 4、部分设备也具有一定防火墙能够检测进出网络内部的数据，对http、ftp、SMTP、IMAP和POP3五种协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作用。 (author https://www.cnblogs.com/Shepherdzhao/) 0x02 与防火墙的区别: 1、防病毒网关：专注病毒过滤，阻断病毒传输，工作协议层为ISO 2-7层，分析数据包中的传输数据内容，运用病毒分析技术处理病毒体， 具有防火墙访问控制功能模块 2、防火墙：专注访问控制，控制非法授权访问，工作协议层为ISO 2-4层，分析数据包中源IP目的IP，对比规则控制访问方向，不具有病毒过滤功能 0x03 与防病毒软件的区别: 1、防病毒网关：基于网络层过滤病毒；阻断病毒体网络传输；网关阻断病毒传输，主动防御病毒于网络之外；网关设备配置病毒过滤策略，方便、扼守咽喉；过滤出入网关的数据；与杀毒软件联动建立多层次反病毒体系。 …

近日，瑞星“云安全”系统截获了多个新型感染病毒，这些病毒具有多个特点：病毒感染能力强、可以释放多个木马程序、能够逃脱大部分杀毒软件的查杀与监控、变异速度快。当用户从网上下载一些流行MP3、exe、flash等文件时，其中很有可能带有此类病毒，用户运行后即可感染电脑中的其他文件。 瑞星安全专家介绍，Win32.virut、Win32.BMW和Worm.Win32.viking是其中三个威力最强的感染型病毒，统计数据显示，5月份受此类感染型病毒侵袭的网民为376万余人，而6月1日到15日的半个月里，已有近263万网民被感染，上升趋势非常明显。 瑞星安全专家表示，“云安全”系统运行近一年来，挂马网站遭到有效打击，黑客不得不变转他们的技术思路，以求与反病毒厂商对抗。新型感染型病毒不仅在感染能力更强，还采取了多种手段与杀毒厂商进行技术对抗： 以病毒Win32.Virut为例，此类病毒自身都会携带变型引擎，可对病毒代码进行变型，使依靠“特征码查杀”的很多普通杀毒软件难以发现；通过修改物理内存数据使杀毒软件的监控功能失效；挂接系统API感染其它文件（系统文件、EXE文件等）；病毒将会在内存释放一个木马程序运行，该木马程序可以由病毒作者随意定制。在瑞星截获的Win32.Virut病毒中，同一变种可以释放不同种类的多种木马程序。 由于Win32.Virut病毒释放的木马程序仅在内存中运行，不以文件实体存在，因此目前市场上“木马专杀类”安全产品对此木马病毒难以检测，并且此类感染型病毒很难以检测木马的方式进行查杀。对于这种情况，瑞星从抓住病毒源做起，在…