论文部分内容阅读
近期安全综述
据瑞星“云安全”系统统计,2010年3月上半月瑞星共截获了200万个挂马网址。瑞星反病毒专家介绍,近期瑞星公司截获了一个“自杀式”袭击木马病毒“Trojan.DL.Win32.NoSorFo.gl”,这是一个可以攻击安全软件的木马下载器病毒。该木马不会与安全软件做正面对抗,而是利用安全软件和其他程序加载输入法文件的特点进行“注入”的攻击方式。病毒利用这一特点,不费吹灰之力,便可以让大部分安全软件加载病毒,从而实现“自杀”的效果,最终访问黑客指定地址,下载大量木马病毒到用户电脑中进行盗号和破坏操作。
近期关注的被挂马网站
“中华广告网”、“社集网”、“亚洲财经”等网站的部分页面被黑客挂马,黑客利用微软最新漏洞和服务器不安全设置进行入侵。用户访问这些页面后,可能会感染木马下载器、盗号木马和黑客后门。
近期关注病毒分析
“自杀式袭击木马(Trojan.DL.Win32.NoSorFo.gl)”
警惕程度 ★★★★
遍历进程查找如下进程:avp.exe,kswebshield.exe,kav32.exe,Mctray.exe,360tray.exe,mcshield.exe,如果找到则调用VirtualFreeEx函数不断释放其内存,直至进程崩溃退出为止。
在系统文件夹下创建一个winagi.ime文件,该文件是模仿标准的输入法文件格式写的。调用InstallIme通知系统加载该输入法,然后调用FindWindowEx函数查找窗口以及其子窗口,并向每个窗口发送WM_INPUTLANGCHANGEREQUEST消息使得对应进程加载该输入法文件。由于大多数软件以及安全软件都需要加载输入法或者未屏蔽输入法文件,因此这时候该输入法文件就会大量“注入”到这些进程中,这些进程就成为了病毒的傀儡。
防范方法
1.使用“瑞星全功能安全软件2010”,有效阻挡通过网页挂马方式传播的病毒;2.安装卡卡上网安全助手6.2自动修复漏洞;3.同时可拨打客服热线400-660-8866咨询,访问客户服务中心网站(http://csc.rising.com.cn)寻求帮助,使用在线专家门诊获得即时支持。
病毒转居隔离区是“杯具”吗?
前面几期,我们看到杀毒软件已经将几个病毒给处理了,这些病毒已经“杯具”地被删除了,细心的读者却又发现,他们并没有被真的删除,在进行杀毒软件设置时,发现了一个杯具:它们还保存在杀毒软件的“隔离区”里(见图1),这可如何是好?
先不要紧张,把病毒放在“隔离区”里可不是杀毒软件收了回扣,放过病毒一马。这是一种规范的病毒处理方式,病毒删除后,放在“隔离区”是为了一旦删除病毒时,发生了误操作,在这里可以对删除的程序进行恢复。作用说清了,我们来安心了解一下隔离区吧。
病毒隔离区是杀毒软件在电脑中建立的一个特殊文件夹,当杀毒软件将病毒文件删除后,为了防止误删除,让我们以后可以再恢复出来,就将病毒文件在删除之前,先进行特殊加密,然后复制到隔离区目录下,最后删除原来的文件。被隔离的病毒文件是无法运行的,因为这个加密过程相当于把原来文件的二进制代码按照一定的变换规则进行了打乱处理,变成了一堆乱码,毫无意义。只有掌握这个变换规则的杀毒软件在获得用户操作请求后,再将乱码按照规则反向变换一下,才能得到原来的文件。
它的作用就好比系统的回收站,是方便我们恢复文件的。现在这个隔离区还有另外一个作用,就是可以让我们看到被删除的文件,并且可以让我们将自己电脑上发现的可疑文件上传给杀毒软件的技术分析工程师,对这个文件的安全性进行进一步分析(见图2),以便确定文件是否安全。
据瑞星“云安全”系统统计,2010年3月上半月瑞星共截获了200万个挂马网址。瑞星反病毒专家介绍,近期瑞星公司截获了一个“自杀式”袭击木马病毒“Trojan.DL.Win32.NoSorFo.gl”,这是一个可以攻击安全软件的木马下载器病毒。该木马不会与安全软件做正面对抗,而是利用安全软件和其他程序加载输入法文件的特点进行“注入”的攻击方式。病毒利用这一特点,不费吹灰之力,便可以让大部分安全软件加载病毒,从而实现“自杀”的效果,最终访问黑客指定地址,下载大量木马病毒到用户电脑中进行盗号和破坏操作。
近期关注的被挂马网站
“中华广告网”、“社集网”、“亚洲财经”等网站的部分页面被黑客挂马,黑客利用微软最新漏洞和服务器不安全设置进行入侵。用户访问这些页面后,可能会感染木马下载器、盗号木马和黑客后门。
近期关注病毒分析
“自杀式袭击木马(Trojan.DL.Win32.NoSorFo.gl)”
警惕程度 ★★★★
遍历进程查找如下进程:avp.exe,kswebshield.exe,kav32.exe,Mctray.exe,360tray.exe,mcshield.exe,如果找到则调用VirtualFreeEx函数不断释放其内存,直至进程崩溃退出为止。
在系统文件夹下创建一个winagi.ime文件,该文件是模仿标准的输入法文件格式写的。调用InstallIme通知系统加载该输入法,然后调用FindWindowEx函数查找窗口以及其子窗口,并向每个窗口发送WM_INPUTLANGCHANGEREQUEST消息使得对应进程加载该输入法文件。由于大多数软件以及安全软件都需要加载输入法或者未屏蔽输入法文件,因此这时候该输入法文件就会大量“注入”到这些进程中,这些进程就成为了病毒的傀儡。
防范方法
1.使用“瑞星全功能安全软件2010”,有效阻挡通过网页挂马方式传播的病毒;2.安装卡卡上网安全助手6.2自动修复漏洞;3.同时可拨打客服热线400-660-8866咨询,访问客户服务中心网站(http://csc.rising.com.cn)寻求帮助,使用在线专家门诊获得即时支持。
病毒转居隔离区是“杯具”吗?
前面几期,我们看到杀毒软件已经将几个病毒给处理了,这些病毒已经“杯具”地被删除了,细心的读者却又发现,他们并没有被真的删除,在进行杀毒软件设置时,发现了一个杯具:它们还保存在杀毒软件的“隔离区”里(见图1),这可如何是好?
先不要紧张,把病毒放在“隔离区”里可不是杀毒软件收了回扣,放过病毒一马。这是一种规范的病毒处理方式,病毒删除后,放在“隔离区”是为了一旦删除病毒时,发生了误操作,在这里可以对删除的程序进行恢复。作用说清了,我们来安心了解一下隔离区吧。
病毒隔离区是杀毒软件在电脑中建立的一个特殊文件夹,当杀毒软件将病毒文件删除后,为了防止误删除,让我们以后可以再恢复出来,就将病毒文件在删除之前,先进行特殊加密,然后复制到隔离区目录下,最后删除原来的文件。被隔离的病毒文件是无法运行的,因为这个加密过程相当于把原来文件的二进制代码按照一定的变换规则进行了打乱处理,变成了一堆乱码,毫无意义。只有掌握这个变换规则的杀毒软件在获得用户操作请求后,再将乱码按照规则反向变换一下,才能得到原来的文件。
它的作用就好比系统的回收站,是方便我们恢复文件的。现在这个隔离区还有另外一个作用,就是可以让我们看到被删除的文件,并且可以让我们将自己电脑上发现的可疑文件上传给杀毒软件的技术分析工程师,对这个文件的安全性进行进一步分析(见图2),以便确定文件是否安全。