dngz.net
影响系统:Windows XP SP1/SP2、Windows 2000、IE 6.0 在Web网页中右击图片选择图片另存为命令保存图像文件时,如果该图像文件名包含多个扩展名,IE默认设置会擅自去除最后的扩展名并保存。利用这一漏洞,入侵者就可以进入你的系统了。 例如,一个包括有恶意代码的图片文件123456.hta.jpg,在另存为后,会保存为123456.hta,而当你不小心执行(打开)123456.hta时,Windows会将该文件解释为HTML文件,并执行其中代码。如果把代码换成木马源代码并加以修改,就成为了木马新的传播途径。可以说这是ActiveX控件漏洞的一个变形利用,因为用户下载图片时代码不运行,所以很有可能避开防火墙和杀毒软件的监视。想想看要是一个壁纸下载网站用了这种方法…… 补洞方法:目前连Windows XP SP2也难逃这个漏洞,直到截稿时,微软也尚未公布解决补丁。只能通过如下方法来避免被攻击:打开资源管理器,将工具菜单文件夹选项设置中的隐藏已知文件类型的扩展名勾选去除。这可避免IE擅自修改文件扩展名,以免出现上述漏洞。 漏洞再现:几行代码就可判断出系统安装的软件 影响系统:除Windows XP SP2外的几乎所有系统 IE在处理sysimagE://协议时存在问题,远程攻击者可利用这个漏洞判断目标系统中安装的软件。比如,攻击者提交如下代码: on load=document.write('Cannot Find File!'); onError=document.write('File exists!');> 如果用户存在这个漏洞就会显示记事本的图标。可以看到入侵者很容易的把代码隐藏到正常的网页中。如果把返回的数据保存至数据库中,这样入侵者可以通过判断用户安装的软件(如利用Winamp、Ser-U等软件的漏洞)来进行攻击。 补洞方法:截止发稿前微软还位发布任何关于这个漏洞的补丁,IE6.01 SP1以下都受到这个漏洞威胁 罪犯名称:证券大盗木马病毒(Trojan/PSW.Soufan) 案情描述:该木马可以盗取包括南方证券、国泰君安等多家证券交易系统的交易账户和密码,黑客可以恶意操纵被盗股票,将某高价股票以低价卖出,然后自己买进后再转手卖出,赚取中间差价,给被盗股民带来巨大损失。 更为狡猾的是,它每次运行后即自杀,并删除自身在系统中留下的文件,达到消毁罪证的目的。该木马曾被添加到某个人网站上(域名与知名搜房网http://www.soufang.com.cn相似),加速了传播速度。目前该网站已经被删除。 欢迎来到(www.dngz.net) 抓获方法:升级杀毒软件至最新版本即可查杀。 中了病毒后EXE文件打不开 2006年08月05日 星期六 12:07昨天,朋友的电脑中了招,所有.exe文件都打不开了! 第一解决方法:将.exe改作.com运行(一般来说已经可以的了,但电脑中的.exe文件何其多啊,改死人!不过可以用在IE\QQ\系统还原\杀毒软件等工具上,毕竟我们需要这些工具帮助我们解决问题嘛) 第二解决方法:如上操作,只适合病毒小范围感染的情况,但这次机器你改了之后一运行程序第二次就又不行了(汗一个先!).经过反复的查阅资料,找到一条捷径,很有效的! 找到cmd.exe,如不能运行,先改为cmd.com,运行,然后输入assoc .exe=exefile(assoc与.exe之间有一空格),回车即OK了. 哈哈,说来也真简单,只是 查杀病毒后的一系列问题(个人总结) 1.找不到文件 遇到这种情况,根据不同系统,需要注意的内容也不同。 Windows 9x/Me:系统目录中Win.ini的[windows]字段下load=和run=两项后面是否为空白(如果有,则删除去);系统目录中System.ini的[boot]字段下shell=Explorer.exe项及[386Enh]字段也是应该注意的。 上述位置修改后,如问题没有解决,就要用Windows安装盘覆盖安装一次,进行修复了。 Windows 2000/XP:应注意的文件有Autoexec.bat、Config.sys以及Winstart.bat,除此之外,还有一些加载项已经移动到注册表中,需要注意的注册表项有: [HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows] 其下的Load键就是自动加载的项目命令行,默认键值应为空。 [HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon] 其下的shell键就是系统“外壳”,其默认键值应该为“C:\Windows\explorer.exe”(不含引号) [HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run] 每个键值对应一个自启动程序,对所有用户长期有效,如果进入系统后,马上弹出有文件未找到,但系统的运行没有问题,遇到这种情况,你就需要在此项中修改了。当然,除此注册表中的内容外,还要注意“开始”菜单中“启动”项下的内容。 [HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices] 所有用户长期有效,默认Windows 2000专业版有此项,默认为空白,Windows XP无此项,如果出现可以删除。 dngz.net [HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunOnce] 所有用户下次启动加载一次其中的程序,默认应为空白 [HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServicesOnce] 所有用户下次启动加载一次,默认Windows 2000/XP都无此项,如果出现可以删除。 [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] 每个键值对应一个自启动程序,对当前用户长期有效。 [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunServices] 对当前用户长期有效 [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunOnce] 对当前用户下次启动时加载一次 [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunServicesOnce] 对当前用户下次启动时加载一次 [HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Explorer\ShellExecuteHooks] 根据CLSID,实现调用ShellExecuteHooks接口以加载COM对象,默认有键名为“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”,键值为空的键。 [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services] 这个是系统“服务”的位置,对于病毒残留的服务项目,通过“事件查看器”(一般病毒删除后,加载的服务都会出错,体现在事件查看器)找到出错服务,并且确认是病毒遗留服务,删除即可。 如果是已经无法进入的系统,那么最简单的方法就是用Windows安装光盘对系统进行修复即可(Windows XP的修复可参考《Windows的救命大师——原位升级》一文)。 2.文件关联错误型 修改常见文件的关联是病毒惯用的伎俩,好在这已经不是问题,现在国内厂商的杀毒软件基本都带有专门的链接修复工具,即使没有,只要进入注册表的[HKEY_CLASSES_ROOT\***file\shell\open\ command](其中***代表扩展名比如TXT),修改“默认”键的键值为“"%1"%*”(不含外侧引号)即可。但要注意INF与TXT文件的键值为“%SystemRoot%\system32 \notepad.exe %1”(不含外侧引号)。 3.引导分区被破坏 这里主要指由病毒导致的引导分区破坏,如果你的电脑出现了软盘读写出现错误、无故读取软驱等问题,那么很可能是中了引导区病毒,解决方法可以参考《病毒大扫除引导区病毒篇》。 4.残留文件、系统服务型 欢迎来到(www.dngz.net) 病毒残留(副本)文件主要是一些TMP文件,这些文件一般不可能具备条件再发作,但是也应该是我们的清理对象,直接删除电脑中全部的TMP文件即可。 5.网络功能不正常型 网络不能正常使用的原因很多,具体到清除病毒后不能正常浏览网页的表现和原因一般是如下两种方式。 ①不能浏览某个(些)特定网址 这种情况,可以检查本机HOST文件,修改恢复即可,位置在C:\Windows \system32\drivers\etc(Windows XP操作系统),注意该文件没有扩展名,用“记事本”打开该文件后修改即可,一般只保留其中的“127.0.0.1 localhost”(不含中文引号)一行即可。 ②IE故障 可以用相关的软件 兔子等进行修复或者从新安装IE. 以上是个人在实际应用中遇到的问题总结 会有许多不足之处 希望大家多多指点. 几种常见恶性电脑病毒清除方法 具体内容: 手工删除Back Orifice 2000的方法: 首先用最新DOS版的杀毒软件开机杀毒,然后将邮箱中的带毒邮件一一删除,否则又会重复感染,该病毒传播能力极强,必须加强防范,为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp. 恶性蠕虫病毒“I-Worm.Aliz” 用最新的杀毒软件清除病毒,然后下载补丁: 如果用户使用升级的因特网outlook版本6.0,就不需要修补outlook。 1. outlook http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp 2.outlook 2000 http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx 3.outlook 2002 (office XP) http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx 又出现Nimda.e病毒,再次更新详细解毒方案 一、winX系统的清除方法: 1.使用干净DOS软盘启动机器。 2.执行vrvdos, 查杀所有硬盘。 3.在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。 www.dngz.net 4.开启vrv实时监测病毒防火墙。 5.为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。 地址是:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。 6.WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。 7.如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。 8.对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:http://www.microsoft.com/technet/security/bulletin/ms00-078.asp. 9.病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。或重装office。 二、WINDOWS NT/2000系统的清除方: WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒: 1.找一台没有感染病毒的、并装有WINDOWS NT/2000(NTFS)系统的计算机,将vrv2001 server安装到硬盘中,对硬盘进行查杀。 2.如果有杀不掉的,用dos盘引导起动,再执行NTFSpro(在vrv网站可以下载)中的ntfspro.exe 即可,看到NTFS格式下的所有文件,将其删除,再回到正常模式下查杀。 3.如果有多台机器,也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。 Nimda病毒解决方案 请大家尽快到微软网站下载更新程序,修补这些漏洞,以免中毒。收到可疑的信件,例如:Nimda病毒病毒附件为readme.exe,不要随意打开以免中毒, IE 5.x 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下载修复程序,避免浏览中毒网页就被感染。 IIS 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-044.asp、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下载修复程序,以修正Unicode漏洞。 另外:Win9x用户记得去掉共享,修改System.ini中shell=explorer.exe load.exe -dontrunold为shell=Explorer.exe ,Win2000则查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除,然后用最新版的杀毒软件扫描你的机器,查杀病毒。 本文来自 www.dngz.net 自己动手对付CodeRed(红色代码) CodeRed(红色代码)是利用Windows NT/2000本身的漏洞来执行骇客行为,微软网站提供更新档下载,使用IIS 4.0以上版本用户,请尽快至微软网站 手工清除Sircam蠕虫病毒: 1、清空回收站,因为病毒将自身隐藏在回收站; 2、删除Autoexec.bat文件中的"@win ecycledsirc32.exe" 3、恢复 (2) 打开注册表编辑器,查找主键: HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %* (3) 删除主键HKEY_LOCAL_MACHINE/Software/SirCam (4) 删除键值HKEY_LOCAL_MACHINE/Software/ 手工清除“快乐时光”病毒 1.检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、 Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件,若其中 含有“Rem I am sorry! happy time”字符串,则删除该文件 2.检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件 3.检查 \Windows\Web 目录下所有 vbs、html、htt 和 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件; 4.删除 HKEY_CURRENT_USER\Software 下 Help 项; 5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。 手动清除圣诞节病毒的方法: 1.开始——>程序——>MS-DOS模式 2.将DOS指令regedit.exe重新命名为 regedit.com 3.回到Windows运行Regedit。 4.开始——>运行 5.输入“regedit”。按一下“确定”。 6.在左边窗口,按一下 含有 " " 记号的方块以展开节点来寻找下列登录 HKEY_CLASSES_ROOT exefile shell open command 7.在右边窗口,以展开节点来寻找含有下列登录的记录值并点选 (Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir% 8.当编辑窗口出现,将所有整个部分删除,只留下 "%1"%*"。 9.同步骤 3-5,输入“regedit”。按一下“确定”,进入以下注册机值。 HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run 10.点选Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ,并按“删除” , 11.开始——>程序——>MS-DOS模式 12.将 regedit.com重新命名为 regedit.exe。摘自瑞星网站 Win32/MTX.A.Worm 病毒的清除方法 清除步骤: 1、对于蠕虫病毒生成的文件如:MTX_.exe,Ie_pack.exe和Win32.dll,需要彻底删除,它们的病毒报警为Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。 2、 开始---运行(regedit)修改注册表,将注册表中的关键字值删除,关键字值为: Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Systembackup =\MTX_.EXE 3、开始---运行(regedit)---编辑---查找(Win32.dll),将查找到的键值删除掉,用同样的方法 查找Ie_pack.exe和mtx,将查找到的键值也删除; 4、重新启动计算机。好长啊.........
嘿嘿是有点长。但是还不错拉。对新手和老手都有些帮助,
是有点长。但是还不错拉