机器狗
中毒症状:
如果360无法打开或者打开之后被关闭,系统变的非常慢,系统时间莫名其妙被更改.\"我的电脑\"的图标不正确,输入法无法打开,说明可能中了机器狗。
如果打开C:\\WINDOWS\\system32文件夹(如果您的系统不在c盘安装,请找到对应的目录),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,点击右键查看属性,如果在属性窗口中看不到文件的版本标签的话,说明已经中了机器狗。
机器狗木马病毒简介:
机器狗,是一种病毒下载器,它可以给用户的电脑下载大量的木马、病毒、恶意软件、插件等。一旦中招,用户的电脑便随时可能感染任何木马、病毒,这些木马病毒会疯狂地盗用用户的隐私资料(如帐号密码、私密文件等),也会破坏操作系统,使用户的机器无法正常运行,它还可以通过内部网络传播、下载U盘病毒和Arp攻击病毒,能引发整个网络的电脑全部自动重启。对于网吧而言,机器狗就是剑指网吧而来,针对所有的还原产品设计,其破坏力可能会很快会超过熊猫烧香。
机器狗工作原理:
机器狗工作原理:机器狗本身会释放出一个pcihdd.sys到drivers目录,pcihdd.sys是一个底层硬盘驱动,提高自己的优先级接替还原卡或冰点的硬盘驱动,然后访问指定的网址,这些网址只要连接就会自动下载大量的病毒与恶意插件。
新型AV终结者木马(Javqhc)简介:
如果你有一下现象,就可能中了此木马:
1、安全软件硬盘文件被删除无法打开360、诊断工具等安全软件,运行后被立刻删除 。
2、常用域名被劫持到其它域名该木马会修改 hosts 表,奇虎360、卡巴斯基、金山、江民、瑞星、赛门铁克 等安全厂商的升级服务器、主页、论坛的域名,均被劫持IP为222.73.126.115的主机,画面为假冒百度网,域名显示为cn.yahoo.com。
3、病毒文件写入常用软件安装目录
4、发现系统中 qq 安装目录下有 wsock32.dll 存在 。
磁碟机病毒(Dummycom)简介:
近日,360安全中心截获了一款新的木马病毒,命名为“磁碟机Dummycom”,该木马病毒通过U盘、ARP攻击及网页漏洞等多种方式传播,并会在计算机中的文件反复感染。属于需进行紧急处理的恶性木马病毒,360安全中心独家发布专杀工具(点击这里立刻下载),请广大用户及时下载进行查杀。该程序运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等大家所熟知的安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。感染病毒后,进程中会出现2个smss.exe和2个lsass.exe进程(如果只一个smss.exe和lsass.exe进程,说明系统正常,并不是磁碟机,请不要惊慌)[如下图],使用任务管理器结束后会造成计算机重启。据分析,该病毒使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免。其在运行后,会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中;病毒文件名一般为“~.exe”。需要注意的是,该病毒使用极其恶毒的感染方式,导致文件被感染后极其难恢复。
360安全专家提醒用户,此类恶性木马病毒需及时使用专杀工具进行查杀。并升级360安全卫士到最新版本,及时修补系统漏洞,进行定期扫描。以避免损失。
正常情况√:
中磁碟机后!:
Ati2evxx木马简介
Ati2evxx也叫logogogo,它是一种病毒下载器;Ati2evxx(logogogo)病毒可以下载盗号木马并覆盖主流的网络游戏,进而盗取用户的游戏帐号和密码;Ati2evxx(logogogo)病毒也可下载机器狗病毒(下载大量的病毒与恶意插件)和Arp蠕虫;每天被Ati2evxx(logogogo)病毒感染的用户不计其数。更为可恶的是,Ati2evxx(logogogo)病毒可以感染用户电脑中的文件,当用户运行被感染的文件的时候,电脑就会再次中毒。因此,如果不能彻底查杀该Ati2evxx(logogogo)病毒并清理被感染的文件,即便是重新安装系统,当用户运行被感染的文件时,会马上再次中毒。
Gdwli32盗号木马简介
1、变名,变形,大量自我复制(bj*srl.dll gd*i32.dll addr* help.dll ,中间为变名字母),躲避杀毒软件查杀,普通方式无法彻底清除。
2、不断重写注册表服务项和病毒服务文件(comint32.sys)并启动该服务,gdwli32.dll 通过启动其病毒服务注入各进程。
3、隐蔽插入到其他程序进程,普通方式难以查杀。
4、泄露用户隐私,盗窃网络财产帐号。
U盘病毒简介
U盘病毒会在系统中每个磁盘目录下创建autorun.inf病毒文件(不是所有的autorun.inf都是病毒文件),因此也被称为“Autorun病毒”。此类病毒借助“Windows自动播放”的特性,使用户双击盘符时就可立即激活指定的病毒。此外,它主要通过U盘传播自身,危害极大,不但影响用户的电脑系统,而且可能会造成大规模的病毒扩散等现象。
U盘病毒是一个统称,实际上他不仅仅可以通过U盘传播,还可以通过网络漏洞各种方式下载的用户本机并隐藏,由于用户会经常双击打开本地盘符,因此这种病毒的存活率和复发率非常的高,目前来看多流行为“下载器(Downloader)”;木马下载器,以此形式通过网络后台自动下载各类木马和病毒,对用户的电脑和虚拟财产造成极大的危害,即使是重装的情况下,也很容易再次激活其他盘符中的病毒。
44939.com首页篡改简介
用户中了该木马后,最明显的症状是:浏览器主页被莫名其妙的更改为www.44939.com(“44939导航”网站),使用各种IE修复工具修复后,仅能在几分钟内没有问题,过一段时间或下次开机以后,主页会再次被修改为44939导航。更可怕的是,用户一旦中了该木马,360安全卫士将被强行关闭、而其他杀毒软件又无法监控其写入注册表的操作。因此用户的电脑安全无法得到保障,处于十分危险的状态下。
MFC42恶意破坏程序简介
强制安装、伪装系统文件、会破坏360安全卫士和其他软件的正常使用.
Qq游戏邀请大盗简介
Qq游戏邀请大盗木马非常狡猾,利用QQ的系统邀请漏洞,向好友发送邀请消息,Qq游戏邀请大盗类消息一般极具有诱惑性,一般用户很容易上当,点击接受后,可能会成为下一个感染者。此木马的流行程度不亚于当年的QQ尾巴。但比QQ尾巴的手段更加高明。 Qq游戏邀请大盗类木马会欺骗用户点击网站,存在被大量下载盗号木马的可能,或让用户拨打电话导致电话费损失。从技术角度分析,Qq游戏邀请大盗木马采用DLL注入方式,隐藏进程。因此任务管理器中看不大他的进程本身;主要是通过Hook TextOut, ExTextOut等函数, 截取屏幕文字输出,伪造程序显示界面,不仅可以很好的欺骗好友,并且还有可能造成屏幕上文字信息的泄露。专家提醒:请勿在QQ等即时通信软件中透漏银行帐号等信息,以免存在安全风险,建议使用360保险箱启动QQ,为QQ通讯创建一个安全的环境。
隐身僵尸木马简介
大量弹出6.cn的广告。 普通安全软件包括冰刃、syscheck等都无法检测。 杀毒软件无法扫描到问题。 使用rootkit技术保护自身下载大量ARP攻击木马和流行盗号木马。普通安全软件无法检测、无法清除。
qhbpri木马简介
变名,变形,大量自我复制(*pri.dll,前面为变名字母),躲避杀毒软件查杀,普通方式无法彻底清除非法修改Windows注册表AppInit_DLLs达到优先启动的效果。隐蔽插入到其他程序进程,普通方式难以查杀。下载其他木马,与木马指定的服务器通讯,泄露用户隐私,盗窃网络财产帐号。360安全卫士主程序检测到【qhbpri木马】和【未知启动项AppInit_DLLs正在被装入】
8749流氓网站
8749主要通过网页漏洞进行传播,并且监控用户的行为,当用户在浏览器中输入"360safe"、"安全卫士"等字样,浏览器就被自动关闭,使得用户无法使用360安全卫生进行查杀。
"8749"运行大约20分钟左右用户的主页就会被修改成8749.com 或 7255.com。并且如果存在qq的情况下,8749将会下在一份 rasadhlp.dll 文件到 qq的目录下,导致网民在启动QQ时会一并激活8749。由于其对于自身有多种保护手段,无怪乎网民用"小强"、"蟑螂"、"牛皮糖"之类的词来比喻此恶意软件之顽固、难缠。更甚至于有部分网友惊呼为"最强恶意程序。
具体表现如下:
1.IE首页被篡改为8749.com,7255.com,4318.com 2.无法访问任何安全站点:
例如“专”和“杀”两个汉字不能在一起出现 ,一起就会关闭,打空格、干扰码都不行程序、网页等的标题或内容中含有“360”、“ 杀毒”、“ AV” 、“ 终结者”、“金山”、“江民”、“卡巴”、“瑞星”、“专杀”、“安全”、“杀毒”等词语在标题出现的 就会被关闭窗体所对应的进程。 3.安全模式注册表被破坏 无法进入安全模式,随机名进入QQ目录 植入DLL文件 用于重生
***温馨提示:部分用户的7255.com/?g为首页的可能是 “飘雪变种”,
请尝试7255(飘雪变种版)专杀
7322.com,7225,7939,kzdh.com,飘雪简介
篡改首页为piaoxue.com,7939.com,feixue.com,9505.com 判断KILL字符,运行含kill字符的专杀工具会自动关机阻止360安全卫士运行阻止用户访问360安全中心网站
9166.biz / 5y5.us Arp木马病毒简介
1.通过网页漏洞传播:该病毒通过植入网站上的一句JS脚本,导致有XML等漏洞的机器中招,成为此ARP病毒的传播源
2.ARP攻击篡改局域网数据包,一台电脑中招,局域网内的所有用户均遭殃:该病毒在整个局域网用户上网的网页中增加""等内容,从而使局域网内有XML漏洞的电脑同时感染此病毒。
3.查杀困难,整个网络不时掉线:由于遭受攻击的局域网一般都是多台电脑感染,同时发起ARP攻击,因此整个局域网很不稳定,时常掉线甚至瘫痪。而且由于机器之间互相感染,因此彻底查杀及恢复非常困难。
4.后台下载多个热门游戏木马:该木马会自动到网上下载梦幻、征途、江湖、魔域、武林外传、奇迹世界、天龙八部、传奇世界、完美国际、风云、魔兽、江湖、QQ幻想等十多款网络游戏木马,偷窃用户游戏帐户。
Fksdy木马下载器
1.域名解析文件劫持。劫持安全厂商网站host,使杀毒软件等无法正常更新。
2.大量下载其他各类盗号木马如完美世界盗号木马,魔兽世界、武林外传、征途等网络游戏盗号木马。
3.变名、变MD5,使用一般安全软件难以查杀
Adload简介
1.弹出广告
2.盗窃用户密码
3.多数安全工具无法查杀
4199简介:
1.自动保护
a.Boot Extender加载,使用原生ZwXXXXKey函数操作注册表,检测自己的服务项是否被删除,如果被删除,则暴力重写回去
b.使用FSD HOOK,保护自己的驱动文件和DLL不被删除
2.隐藏启动
驱动检测到系统启动后即向RunOnce启动项写一个启动项,然后该项目就会被删除,其DLL就无痕迹地加载了,使用任何软件无法检测出其DLL的启动项
3.域名劫持
使用了特殊的手段,通过ZwCreateFile的hook,以及FSD HOOK,当检测到以下进程读取hosts表时,将它们的读写定位到自己的一个hosts文件:
theworld.exe( 世界之窗浏览器)
svchost.exe
services.exe (以上两个是系统的服务以及域名解析进程,可以影响其他的大部分网络访问
theworldxp.exe (世界之窗浏览器xp)
maxthon.exe (傲游浏览器)
max.exe (同上)
ttraveler.exe (腾讯浏览器)
myie.exe (MyIE浏览器)
greenbrowser.exe (绿色浏览器)
firefox.exe (火狐浏览器)
被修改hosts文件的内容为:
61.141.31.11 www.kzdh.com
61.141.31.11 www.7255.com
61.141.31.11 www.7322.com
61.141.31.11 www.7939.com
61.141.31.11 www.piaoxue.com
61.141.31.11 www.feixu.net
61.141.31.11 www.6781.com
61.141.31.11 www.7b.com.cn
61.141.31.11 www.918188.com
61.141.31.11 hao.allxue.com
61.141.31.11 good.allxue.com
61.141.31.11 baby.allxue.com
61.141.31.11 www.allxue.com
61.141.31.11 about.lank.la
61.141.31.11 www.x114x.com
61.141.31.11 www.37ss.com
61.141.31.11 www.7k.cc
61.141.31.11 www.73ss.com
61.141.31.11 www.hao123.com
61.141.31.11 www.81915.com
61.141.31.11 www.9991.com
61.141.31.11 www.my123.com
61.141.31.11 www.haokan123.com
61.141.31.11 www.5566.net
61.141.31.11 www.gjj.cc
61.141.31.11 www.2345.com
61.141.31.11 www.123wa.com
61.141.31.11 www.ku886.com
61.141.31.11 www.5icrack.com
61.141.31.11 www.jjol.cn
61.141.31.11 www.xinhai168.com
61.141.31.11 ooooos.com
61.141.31.11 www.ooooos.com
61.141.31.11 www.8757.com
61.141.31.11 4199.5009.com
61.141.31.11 www.13886.cn
61.141.31.11 www.8757.com
61.141.31.11 www.baidu345.com
61.141.31.11 www.dedewang.com
61.141.31.11 allxun.5009.cn
61.141.31.11 4199.5009.cn
61.141.31.11 yahoo.5009.cn
61.141.31.11 tom.5009.cn
61.141.31.11 zh130.5009.cn
61.141.31.11 piaoxue.5009.cn
61.141.31.11 3448.5009.cn
61.141.31.11 ttmp3.5009.cn
61.141.31.11 fx120.5009.cn
61.141.31.11 7939.5009.cn
61.141.31.11 99488.5009.cn
61.141.31.11 7333.5009.cn
61.141.31.11 www.ld123.com
61.141.31.11 www.anyiba.com
61.141.31.11 www.999991.cn
61.141.31.11 www.hao123.cn
以上的55个网站将全部被重定向到61.141.31.11,页面和hao123完全一样,但并不是HAO123的,据查IP地址是4199.com的,之前也被其利用来屏蔽其它网址
这个hosts表修改手段无法被目前任何相关检查软件检查到
下面是驱动部分技术分析:
autoprt.sys version 1-30
1.Boot加载,在load时就取到ZwOpenKey,ZwSetValueKey,ZwClose的地址等到SystemRoot初始化完毕后再通过分析nt kernel获取ZwOpenKey,ZwSetValueKey,ZwClose的地址,总之确保SystemThread2用来写注册表的Zw*Key函数是没被HOOK的
2.SystemRoot加载成功后,即hook 其所在的FSD的IRP_MJ_SETINFORMATION(这里IRP_MJ_CREATE没有被启用)IRP_MJ_SETINFORMATION的HOOK作用是过滤对其驱动文件和DLL文件的SETINFORMATION(IRP_MJ_FILE_SYSTEM_CONTROL,IRP_MJ_Q—UERY_VOLUME_INFORMATION)操作
3.hook ZwCreateFile,ZwLoadDriverZwCreateFile将以下进程对system32\\drivers\\etc\\hosts的打开重定位到其自定义的hosts文件:winttrs上:
theworld.exe
svchost.exe
services.exe
theworldxp.exe
maxthon.exe
max.exe
ttraveler.exe
myie.exe
greenbrowser.exe
firefox.exe
这样第三方的检测工具或者用记事本打开就无法发现hosts文件被篡改winttrs由r3部分的dll从固定地址download下来IRP_MJ_CREATE的HOOK也是做同样的工作,不过没有启用ZwLoadDriver的HOOK阻止包含了isdrv和ispubdrv的驱动项目启动即禁止Icesword加载
4.驱动在boot时使用PsSetCreateProcessNotifyRoutine创建一个CreateProcessNotifyRoutine
当检测到userinit.exe被加载时就会启动SystemThread2,作用是向\registry\machine\software\microsoft\windows\currentversion\runonce
写入%%systemroot%%\system32\rundll32.exe %%systemroot%%\system32\%s.dll,Run
否则就会执行SystemThread1,直到检测到Winlogon进程结束时停止
5.Boot时会创建SystemThread1,作用时检测自身的服务项是否正确,若不正确,则重写之
广告软件ASN.2简介:
弹出广告修改系统时间,导致杀毒软件失效添加广告IE快捷方式到桌面添加广告到收藏夹不断变名,变形诊断报告中显示ASN.2 注入dll
酷站导航简介:
强制安装自动变形无法彻底删除 潜伏定期爆发
万能搜索简介:
强制安装自动恢复无法彻底删除文件自动变名
全能搜索简介:
强制安装无法彻底删除不断变名,变形
系统幽灵简介
名称:幽灵
行为追踪:“幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放23OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C:Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随Windows启动。
三大危害:
1. 破坏系统安全模式
删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃
2. 阻止IceSwrod启动
阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动
3. 下载大量广告程序与病毒文件
开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。
广告软件彩信通简介:
弹出广告 强制安装 无法彻底删除 捆绑winstdup
广告软件哇哇资讯简介
修改系统ginadll无法彻底删除添加广告IE按钮添加广告到收藏夹
My123简介:
篡改IE首页为My123.com潜伏到特定时间爆发无法彻底删除
感染exe程序Torjan特洛伊木马专杀工具简介:
感染所有exe程序对新的Epower多层感染杀毒软件可检测出 Trojan.downloader.delf.xxx,Torjan.Dropper.delf.xxx,worm.cnt.xxx病毒
MSN幽灵相册
“MSN幽灵相册”病毒简介:“MSN幽灵相册”病毒主要通过MSN进行传播,这个傀儡病毒会根据用户的操作系统区域设置,发送不同语言的信息,其中中国地区发送的为汉语拼音信息。发送album,photo,photo_album,images,photos2007_,image0加上随机数,扩展名为scr的附件。用户中招后会不断的通过MSN自动发送病毒文件给msn上的联络人,而本机可能接受来自远程恶意攻击者的命令,发起对其他计算机系统的网络攻击,而形成僵尸网络。
AV终结者简介
AV终结者”不但可以劫持大量杀毒软件以及安全工具,而且还可禁止Windows的自更新和系统自带的防火墙,大大降低了用户系统的安全性,这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。本工具下载到本地后双击运行即可。 该专杀还可以处理流氓软件8749造成的威胁。此恶意软件会将用户的IE首页强制设置为8749,同时可能破坏用户的操作系统及杀毒软件
“MSN机器人”简介
MSN机器人”(Worm.MsnBot.h)病毒正在利用MSN聊天工具疯狂传播,仅6月1日下午短短几小时就有数万用户中招。为此,金山毒霸已发布紧急预警,建议用户立即升级病毒库,下载此专杀工具,并拒绝接收名为photos.zip的压缩包。
灰鸽子简介
灰鸽子是国内一个著名的后门程序。 灰鸽子变种木马运行后,会自我复制到Windows目录下,并自行将安装程序删除。修改注册表,将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。
熊猫烧香病毒简介
“熊猫烧香”,又称“武汉男生”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。 被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件, 它还能中止大量的反病毒软件进程
橙色八月简介
8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
3448.com病毒简介
系统被感染后,打开IE或者其他浏览器起始页面被篡改为http://www.3448.com/。 病毒通过API HOOK自我保护。 通过其他恶意程序或者自身下载升级下载并得到执行,使用随机文件名达到屏蔽文件名清除模式
威金病毒简介
“威金”病毒主要通过网络共享传播,病毒会感染电脑中所有的.EXE可执行文件,传播速度十分迅速。“威金”病毒运行后,修改注册表自启动项,以使自己随系统一起运行,向系统文件目录下生成以下病毒文件
魔鬼波简介
“魔鬼波”蠕虫运行后,在系统目录下建立大小为9609字节的病毒文件wgareg.exe,该病毒文件经过加壳处理。病毒建立下面服务,以使自己可以在系统启动时自动运行。
“科多兽”病毒简介
感染型的蠕虫病毒,感染扩展名为.exe、.asp、.aspx、.htm以及.html的文件,被感染后的.exe文件大部分会损坏,无法恢复,病毒自身会通过局域网和邮件传播
评论列表:
悄悄问苍穹:别来可无恙 http://www.hao1234.org/寄语白云间:祝你永平安