新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   >>中国XML论坛<<     W3CHINA.ORG讨论区     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
  •   Add to Google

    >> 讨论密码学、密码协议、入侵检测、访问控制等与安全理论研究有关的主题
    [返回] 中文XML论坛 - 专业的XML技术讨论区计算机理论与工程『 安全理论 』 → 秒杀恶意网址导航 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 4203 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: 秒杀恶意网址导航 举报  打印  推荐  IE收藏夹 
       本主题类别:     
     金山网盾安全专题网 帅哥哟,离线,有人找我吗?
      
      
      等级:大二期末(数据结构考了98分!)
      文章:164
      积分:445
      门派:IEEE.ORG.CN
      注册:2010/8/14

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给金山网盾安全专题网发送一个短消息 把金山网盾安全专题网加入好友 查看金山网盾安全专题网的个人资料 搜索金山网盾安全专题网在『 安全理论 』的所有贴子 访问金山网盾安全专题网的主页 引用回复这个贴子 回复这个贴子 查看金山网盾安全专题网的博客楼主
    发贴心情 秒杀恶意网址导航

    首先先要问问,预计不少用户用的都是用雨林木风、深度这样的系统吧?

    装完之后,是否发觉IE的首页被改成某些[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL]呢?如果你想要一个干净的IE,而非一打开IE就有一个早就设定好的[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL],那么您很应该看看这片文章了

    ·求助现象:1.前几天中了2345这个[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL],今天就变成5344了,每次打开IE浏览器都会跳到这个页面,怎么彻底删除?2.5344网址被当做主页一次后,一使用电脑的搜索程序就自动弹出来,怎么办啊?3.我的ie浏览器被恶意纂改为hxxp://www.2345.com/indexz.htm,原因是下载了一个游戏,我采取了删除ie快捷方式,并重起windows之后还是主页显示2345[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL]。又右键点击ie,选属性更改主页网址,但重新打开ie浏览器后还是无法更改主页,实在可恶...4.桌面上总是出现2345[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL],删了,过一会就又出现了!很烦人。请高手指点哈!5.my115网址导航怎么删除??它不是主页,就是一打开浏览器就跳出来,要怎么办?急!!求助!!如果点击“主页”键,出现的还是原来的主页....6.怎么删除3883网址导航?怎么也删不掉,当时删掉后一开机就又有了...

    ·演示案例:针对以上用户的不同情况的,这里我们找到了一个简单的样本作为演示,这个病毒样本虽然不是什么疑难样本,但作为今天的演示对象,能够充分说明时下流行的一些病毒行为,再看看[URL=http://labs.duba.net/zt/wangzhidaohang.html]金山网盾[/URL]是如何有效清除此类恶意程序。演示环境:操作系统: Microsoft Windows XP Professional 版本 2002 Service Pack 3计算机: Intel(R) pentinum(R) Dual CPU E2160 2.00GB内存文件MD5: 077db83ff84ab249dcba0823e4390800 运行样本后,大家一起来看看,这个病毒到底做了些什么主要操作导致会出现所谓的无法清除的现象呢?1.病毒增加/修改了文件扩展名[HKEY_CLASSES_ROOT\.79z] @="79zfile" 2.病毒增加/修改扩展名的调用方式[HKEY_CLASSES_ROOT\79zfile][HKEY_CLASSES_ROOT\79zfile\shell\open\command]@="C:\\Program Files\\Messenger\\Ntype.exe \"C:\\Program Files\\Messenger\\Messenger.kbb\" \"%1\""3.修改浏览器的启动参数 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\启动Internet Explorer(&H)\Command]@="C:\\Program Files\\Internet Explorer\\MUI\\iexplore.exe %1 hXXp://www.79473.cOm/"4.病毒增加文件 C:\Documents and Settings\All Users\桌面\Internet Explorer.79z
    C:\Documents and Settings\xxx\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.79z
    C:\Documents and Settings\xxx\「开始」菜单\程序\Internet Explorer.79z
    C:\Program Files\lnkfiles
    C:\\Program Files\\Internet Explorer\\MUI\\iexplore.exe
    C:\Program Files\Common Files\System\ado\myie.exe
    C:\Program Files\Messenger\Messenger.kbb
    C:\Program Files\Messenger\Ntype.exe
    病毒经过以上的修改,用户的桌面、快速启动和程序菜单的就会多出几个原本不存在的ie快捷方式(或者原有的ie快捷方式被修改了),大家可以看看这样修改出来的ie快捷方式用右键属性查看是看不出什么的(实际的扩展名是.79z)。

    我们尝试下点击这些被修改过的ie快捷方式会有怎么样的效果呢?
    按此在新窗口浏览图片

    从图片上我们可以看到,ie浏览器打开了"http://www.79473.cOm/"的网址,这个网址很快的又跳转到另一个网址"http://www.zongfo.cn/l.htm?",看到[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL]出来了吧。这时候桌面又有新的图标生成了,是一个叫"淘宝特卖"的桌面图标,值得注意的是,每次点击,这些ie快捷方式都会被还原,这个病毒的清除方法也很简单,只要删除这些快捷方式就可以了,在使用工具修复的时候,如果漏掉这里边的其中一个ie快捷方式的话,就很有可能演变成无法清除的根源。当然,你也可能说只要不点这些ie快捷方式就不怕了,是的,这个病毒只要你不点击这些ie快捷方式的话是不会触发的,而且病毒也没有开机启动什么的行为,它就是利用了一点点的社会工程学原理,大部分人还是爱点快捷方式的,这已经成了习惯,不是吗?


    [B]金山网盾清除步骤:[/B]
    打开金山网盾,并点击的【一键修复】->使用【全面修复】->查出异常后,点击【立即处理】,即可轻松处理此类修改快捷方式病毒:
    按此在新窗口浏览图片

    立即下载[B][URL=http://labs.duba.net/zt/wangzhidaohang.html]金山网盾[/URL][/B]进行修复操作吧!!!
    [B]恶意[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL][/B]乖乖的爬出你的系统~~~


       收藏   分享  
    顶(0)
      




    ----------------------------------------------
    金山网盾安全专题:http://labs.duba.net/zt/

    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2010/8/19 16:00:00
     
     GoogleAdSense
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 安全理论 』的所有贴子 访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/11/23 5:23:46

    本主题贴数1,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    46.875ms