|
|
Re: [M26] [b][color=brown]电脑专业维修,上门快,价格低![/color][color=blu
2009年计算机最新病毒
病毒名称:Backdoor.Win32.IRCbot.
中 文 名:代IRC波特变种WZG
病毒类型:病毒
影响平台:Win 9X/ME/NT/2000/XP/2003
该病毒是基于IRC的后门程序,黑客可以通过IRC软件对中毒电脑进行控制,对外发动攻击等。
该病毒运行后复制自身到驱动程序目录下,文件名为wmiadapi.exe,并在注册表中添加名为“AutoDiscovery/AutoPurge (ADAP) Service”的项目,实现开机自动运行。病毒还会在中毒电脑上开设后门,自动连接cftp.dawn****.info接受远程指令,黑客可以利用IRC软件对染毒的计算机进行远程控制,进行多种危险操作。同时,该病毒还会自动修改系统文件,使系统一些正常的网络功能遭到破坏。
二,漏洞 报告
NetGear WG102 SNMP写权限团体字符串信息泄露漏洞
Netgear WG102 4.0.16
描述:
BUGTRAQ ID: 33181
NetGear WG102是一款小型的无线宽带路由器。
如果用户在WG102路由器上拥有SNMP读访问权限(默认)的话,就可以通过MIB读取以明文存储的SNMP写团体口令。之后攻击者就可以通过这个口令获得SNMP写权限,重新配置路由器,包括将RADIUS认证重新定向到恶意的路由器。
<*来源:Harm S.I. Vaittes
链接:http://marc.info/?l=bugtraq&m=123151803321272&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
* 启用snmp(默认)然后设置不同的SNMP读写口令字符串,在另一台机器上执行:
snmpwalk -c READPASSWORD -v2c IP SNMPv2-SMI::enterprises.4526.4.3
口令存储在了...4526.4.3.8.4.0和...4526.4.3.8.5.0。
建议:
--------------------------------------------------------------------------------
厂商补丁:
Netgear
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.netgear.com/
三.针对上述情况,专家建议采取以下措施预防:
1、建立良好的安全习惯,不打开可疑邮件和可疑网站;
2、很多病毒利用漏洞传播,一定要及时给系统打补丁;
3、安装专业的防毒软件升级到最新版本,并打开实时监控程序;
4、安装带有“木马墙”功能的个人防火墙软件,防止密码丢失。
5、为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播
病毒名称:Worm.Win32.DownLoader.mu
中 文 名:下载器蠕虫变种MU
病毒类型:病毒
影响平台:Win 9X/ME/NT/2000/XP/2003
该病毒会伪装自己为微软系统文件,关闭很多杀毒软件,以躲避对其查杀,然后链接一个网站下载大量木马到本机运行,导致清除病毒困难。
病毒运行后,病毒会伪装自己为微软系统文件spoolsv.exe,伪造微软文件spoolsv.exe的版本信息,并且替换微软的文件spoolsv.exe。病毒运行后会把系统文件spoolsv.exe移动到C盘根目录下改名为ttmm.tep。检查安全软件的进程,如果有就结束掉,然后对大多数安全软件的文件名进行映像劫持,以躲避杀毒软件对其的查杀。然后在每个盘和移动盘创建文件AUTORUN.INF和ZGZF.PIF,达到双击盘符运行病毒的目的。修改注册表启动项,达到开机自动运行的目的。最后连接网站http://www.xxxx.com,下载大量木马病毒,然后存放在C:\Documents and Settings\目录下,其中一个下载后存放在C:\Program Files\目录下,此病毒容易反复感染,彻底清除困难。
二,漏洞报告
PDFBuilderX ActiveX控件SaveToFile()方式任意文件覆盖漏洞
受影响系统:
Ciansoft PDFBuilderX 2.2.0.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 33233
PDFBuilderX是用于创建和保存PDF文件的ActiveX控件。
PDFBuilderXTrial.PDFDoc ActiveX控件(PDFBuilderXTrial.ocx)没有正确地验证对SaveToFile()方式所提供的输入,如果用户受骗访问了恶意网页并向该方式传送了恶意参数的话,就可能导致向系统上写入任意文件。
<*来源:Alfons Luja
链接:http://secunia.com/advisories/33427/
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 为受影响的ActiveX控件设置kill-bit。
厂商补丁:
Ciansoft
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ciansoft.com/pdfbuilderx/default.asp
三.针对上述情况,专家建议采取以下措施预防:
1、建立良好的安全习惯,不打开可疑邮件和可疑网站;
2、很多病毒利用漏洞传播,一定要及时给系统打补丁;
3、安装专业的防毒软件升级到最新版本,并打开实时监控程序;
4、安装带有“木马墙”功能的个人防火墙软件,防止密码丢失。
5、为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播。
蠕虫变种:Worm:W32/Downadup.AL
其他命名:
Worm:Win32/Conficker (Microsoft)
W32/Conficker.worm.gen (Symantec)
Mal/Conficker (Sophos)
性质:蠕虫
平台:Windows
传播途径:系统传播、网络传播。
中毒症状:
1.释放如下文件:
%System%\[Random].dll
%Program Files%\Internet Explorer\[Random].dll
%Program Files%\Movie Maker\[Random].dll
%All Users Application Data%\[Random].dll
%Temp%\[Random].dll
%System%\[Random].tmp
%Temp%\[Random].tmp
2.感染移动存储介质:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
%DriveLetter%\autorun.inf
3.注入进程:
svchost.exe
explorer.exe
services.exe
3.停用下面系统服务:
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Security Center Service (wscsvc)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
4.Vista下还会运行下面命令行语句:
netsh interface tcp set global autotuning=disabled
5.该蠕虫使用api hook,
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto |
|
IP卡
狗仔卡
发表于 2009-12-7 19:16
显身卡
楼主