包含 网络安全 标签的文章

挂马分析

上次的挂马找到最后无果,今天又随便一看发现少看了一个 iframe,然后经过重重查找发现了一个嵌入的网页下载了 http://o-ap.cn:1111/neww/as.css 这个CSS文件,下载下来之后用 Notepad2 打开发现全是乱马,有 39KB 的大小,我觉得它应该是一个可执行文件,机子上没有装杀毒软件我也不能断定,再经过查找发现了一段 StromPlayer 的字样,然后无意中上 360 的网站看了一下,发现 360 提示:"近期,网上传出暴风影音自带的ActiveX控件存在远程溢出漏洞",哇呀,还真厉害,难道就是利用暴风影音的漏洞?
经过一层一层的剥衣服,发现这个 http://klawesd.cn:6868/b174152/b17.htm 非常的厉害,用 iframe 一层一层的嵌了N多个网页,又引用了N多个JS文件,还有用到 Outlook Express 的漏洞,真的是经过精心的伪装,后面我也懒的去看了,总共算了一下估计嵌了有几十个网页加JS文件,非常的恐怖,多亏了畅游巡警.
在这里告诉大家,选一款适用的杀软和补漏洞至关重要

360安全中心评出08年上半年"三大流行木马"

近段时间以来,机器狗、磁碟 机、网游盗号木马不断困扰着上网用户,尤其在一些游戏玩家中间,已经到了“谈马色变”的境地。和上网用户的恐慌不同,木马制作者却在暗自偷笑大发其财。为 了继续对木马黑色产业链予以打击,同时引起人们对网络安全的关注,360安全中心评出近期三大流行木马。

360安全中心(www.360.cn)通过对近期木马查杀次数的分析,评出机器狗系列木马、磁碟机木马和网游盗号木马为2008上半年的三大流行木马。这些木马的感染人数均在百万以上,间接造成经济损失数额巨大,成为一段时间以来危害网络安全的罪魁祸首。

“网游盗号木马”当之无愧

自2006年以来,各类木马均呈爆发趋势,其中以盗号木马尤为猖獗。到2007年,网游盗号木马开始泛滥,并且和其他木马“联合作战”,不仅盗取游戏账号,更直接威胁网络银行密码。进入2008年,魔兽世界全国总冠军账号被盗一案,将盗号木马的威胁推向高峰。

调查显示,在2008年爆发的各类木马中,网游盗号木马成为危害网民最严重的一类木马,占木马总数的76%以上,超过38%的网民曾有过被盗号经历。网游盗号的问题已在一定程度上成为了网游业发展的绊脚石。360安全中心数据监测显示,网游盗号木马活跃期日均查杀数均超过200万次,当之无愧地入选2008上半年“三大流行木马”。

“机器狗系列木马”变种频繁

各类木马不仅在技术上加强“反查杀”的特性,同时也通过频繁变种躲避安全软件的追杀,成为今年木马爆发的显著特征。机器狗系列木马便是其中的典型代表。

据了解,截至目前,机器狗木马至少出现了4次大变种,几十次小变种,均以躲避360 安全卫士等安全软件的查杀为目的。持续时间之长,变种数量之多,实属罕见。并且每次变种之后的木马越来越恶劣,从最初的替换系统文件,到中期变种为穿透网吧还原系统下载盗号木马,直到最近公然干扰安全类软件正常运行。

机器狗木马活跃期日均查杀数超过250万次,又因其快速变种和对电脑的高度破坏性,理应在“三大流行木马”中占得一席之地。

“磁碟机”超强传播引发恐慌

磁碟机木马是2008年以来最为活跃的一个木马,日均查杀数超过300万次,其破坏性可与熊猫烧香相媲美,然而磁碟机的传播途径却极为特殊。它主要利用感染U盘的方式,通过U盘传播。因此在朋友之间交换文件或拷贝电影时,就有可能感染磁碟机。

磁碟机木马能阻止360安全卫士、卡巴、瑞星、金山、江民等大家所熟知的安全类软件的运行,感染病毒后,系统中出现恶意进程,严重干扰电脑正常运行。

同时,由于U盘和移动硬盘是日常工作中最为常用的文件存储和转移方式,因此,只要一台电脑感染磁碟机,就有可能导致大范围的感染。

磁碟机木马真正引发了人们对木马的恐惧,选入“三大流行木马”无可厚非。

据360安全专家透露,木马病毒的趋利性不断增强、木马程序成最大安全隐患、网络和移动存储设备成主要传播途径已成为近年来木马产业的三个主要特征。木马程序通过偷、骗、抢等恶劣行为,对个人网络安全造成严重威胁。
专家提醒指出,用户不应随意打开来历不明的邮件;不要随意下载和运行来历不明的软件;及时修补漏洞和关闭可疑端口;及时升级病毒库;设置复杂型密码。

强烈向使用IE浏览器的朋友推荐一款软件《畅游巡警》

以下内容复制于“超级巡警”官方论坛“畅游巡警帮助文档”帖

软件下载地址:http://www.sucop.com/download/secplugin.html


一、畅游巡警是什么,有什么作用?

   “畅游”一词出自清 沉复 《浮生六记·浪游记快》:“余遂从至杭,西湖 之胜因得畅游。”解释为:轻松,尽情地游览!然而互联网络中一些网页和链接中包含恶意、无用的信息内容,却让网民处处谨慎提防,何以做到轻松畅游网络?为此,畅游巡警软件将在您浏览网页的时候实现:
1 安全点击:清除网页链接中的恶意威胁,轻松随意“指点”互联网络!
2 高效点击:标记恶意的无价值的网页资源和下载资源,提高您浏览网络的效率.
   


二、畅游巡警的简介:
   
(1)
     畅游巡警是一款全新理念的网页杀毒软件,由数据安全实验室(www.sucop.com)于08年出品。畅游巡警针对网页、搜索引擎、BBS社区、即时通信(QQ、msn)、电子邮件中的恶意url(网络链接)进行分析、标记警示、过滤处理。在您浏览的网页之前,预先将网页中的病毒和其他恶意代码“杀掉”,还您一个清洁绿色的网页。畅游巡警是目前国内唯一可以在病毒利用网页传播过程中(感染你机器之前),进行拦截、清除的杀毒软件。

  安装畅游巡警可以彻底杜绝因点击网页中恶意链接导致的电脑中毒和私有数据泄露问题,会让您在畅游网络遭遇威胁的概率趋近于零!另一方面,畅游巡警在您浏览网页之前,预先对其中内容进行分析评估,并标记结果,让您有效的避开垃圾信息、恶意广告、钓鱼网站,提高您的网页浏览和资源下载的效率。

  此外畅游巡警完全免费、安装操作简单,几乎不占系统资源,同时其良好的兼容性可以配合其他杀毒软件使用! 安装后运行IE,畅游巡警图标在IE左上角,点击可以进行基本设置。   



(2) 畅游巡警的特色:

   1 突前防御:目前几乎所有杀毒软件的扫描引擎和访问网页的方式在理念和设计上不兼容,无法检测到网页中的威胁。只能在机器系统内部构建防御。而当前病毒发展迅速,这种传统的防御方式已经疲于应付。畅游巡警则是把防线从系统内部移到了网络中。当恶意程序利用网页传播的时候,就已经被畅游巡警阻截了。可以说畅游巡警代表目前业内最前沿的网络安全技术理念。

   2 高速网页扫描引擎:畅游巡警拥有业内顶尖的url扫描引擎技术,速度比国外同类技术引擎快40%,应用畅游巡警浏览网页全无滞感。真正体现“畅游”的乐趣。

   3 网页杀毒:目前依据网络搜索引擎调查发现的10%的网页包含恶意代码,而其中超过55%的恶意托管网页来自中国,随着web2.0技术广泛应用,当前80%网络威胁(病毒木马等恶意程序)依靠网页传播。面对如此严重的恶意网页威胁,数据安全实验室独立研发的网页过滤技术,畅游巡警不仅可以标识网页威胁,还可以在用户机内清除网页内的恶意程序,实现网页“杀毒”同时不影响该网页的浏览。还客户一个干净绿色的网页。

   4 提高浏览效率:包含恶意广告、木马、病毒、钓鱼内容的网页,通常不含有用户需要的信息。用户可以依据畅游巡警的警示图标避开这些垃圾网页。

   5 IE防溢出设置:防止IE运行一些含风险的可疑程序。

   6 免费运营:由于安全服务是目前互联网一项关系到客户端正常运转的基础服务,此版本的畅游巡警对非商业用户将永远免费!


(3) 畅游巡警的兼容性

   畅游巡警运行环境:Win2000、WinXP 、Vista (基于 IE6、IE7的内核浏览器 ),截至本版畅游巡警发布之日未发现与其他软件的不兼容现象。




============================================================================================================================


三、安装、卸载畅游巡警。

   (1)安装

畅游巡警安装方便快捷,无需重启机器。只需要在安装前依据提示关闭浏览器,重新启动浏览器即可。鼠标悬浮在IE浏览器上,使用右键即可启动畅游巡警界面。
如果安装时候你的IE浏览器是打开的,安装程序会提示你关闭IE浏览器.(图1)


============================================================================================================================




四、畅游巡警的界面和操作。

   (1) 畅游巡警软件的主界面:

其主界面共分为设置、信任网页列表、关闭畅游巡警、告诉朋友、发送反馈、帮助、升级、关于8个模块。

1 设置模块:在这个模块中,可以进行防溢出设置和升级设置。防溢出设置可以编辑拦截程序的黑白名单,选择静音模式后畅游巡警将自动拦截可疑程序,不显示拦截提示窗口。

如图:

 

 


(图1)

   (2)卸载

畅游巡警没有任何插件,卸载同样不需要重启机器。只需要打开开始菜单---->选择程序---->畅游巡警---->卸载!

 


(图:设置模块)

2 信任网页列表模块:可以手动添加信任网站,畅游巡警将会不审核其内容,自动放行。
如图:


(图:不警告列表模块)

3 关闭畅游巡警模块:关闭畅游巡警所有功能。

4 告诉朋友模块:向朋友推荐畅游巡警

5 发送反馈模块:向软件官方发送产品使用反馈。

6 帮助文档模块:畅游巡警使用帮助和问题收集。

7 升级设置模块:在升级设置中可以选择自动升级,该模式同时也是默认升级模式。
如图:


(图:畅游巡警升级状态窗口)

8 关于模块:畅游巡警的软件信息。

如图:


(图:畅游巡警软件信息)

   (2)畅游巡警的恶意威胁提示窗口:

当浏览的网页含有病毒、木马等其他威胁的的时候,该窗口弹出!(图3)

(图3)

此窗口中内容包括:

1 威胁以及恶意代码行为的具体描述。

2 恶意代码的类型描述。

3 可以选择清除恶意代码继续浏览网页,也可以选择忽略恶意代码浏览网页。


   (3)畅游巡警的恶意广告提示窗口:

当浏览的网页含中恶意广告代码,该窗口弹出!(图4)

(图4)

此窗口中内容包括:

1 威胁以及恶意代码行为的具体描述。

2 恶意广告代码类型描述。

   (4)畅游巡警的IE防溢出拦截窗口:

当IE试图运行一个未受信任的程序的时候,该窗口弹出,可以选择是否拦截改程序。并可以统一预定义同类操作以及编辑信任程序列表!(图5)


(图5)

   (5)畅游巡警的软件按保护窗口:

针对其他可疑程序修改畅游巡警设置的时候,该窗口弹出。在其中可以启用畅游巡警智能自我修复功能。(图6)


(图6)