树树在测试中发现，这个恶意页面居然躲过了多款杀毒软件的检测。可是，在检查源代码时，发现有一行代码为fuckie =。原来关上该页面后，阅读器会从此地址下载0.EXE恶意程序，这时被动进攻软件报警，发现了名为Script.HttpDownloader.i的病毒。由于该网页调用的恶意程序变种更新十分频繁，造成杀毒软件不能第一期间识别，这也是近期流氓网站的最新战术，和杀毒厂商开局比拼速度。树树倡导间接将此地址屏蔽，如有o.exe等不明程序出站访问，则予以阻拦，而后进入安保形式全盘查杀。其余流氓网站www.henbang.net恶意页面危害水平：★★★★页面挂无应用ANI鼠标指针破绽的病毒，恶意篡改阅读器，只需开启IE便智能弹出。WWW.ITcompUTEr.com.cN处置方法：立刻装置补丁号为KB925902的微软MS07-017补丁程序，进入安保形式用杀毒软件全盘扫描肃清。闪讯下载站恶意页面：危害水平：★★★★该下载站是一个恶意下载站，站内一切软件均为流氓软件包，网民受骗下载运转后即被强行装置数十种流氓插件及木马病毒。处置方法：尽量去正轨下载站，软件下载后用杀毒软件扫描确认无毒后再运转。倡导间接屏蔽此站。www.yxgm78.com恶意页面：危害水平：★★典型的纯恶意网页，空白的页面嵌有7种恶意代码，并在页面中装置了两套统计系统统计受益人数和起源。处置方法：断网后清空系对抗切暂时文件，封锁系统恢复。进入安保形式用反流氓工具清算后再用杀毒软件全盘查杀，留意禁用不明启动项加载。

什么是IEFO劫持 这两周恶性病毒AV终结者疯狂暴虐网络，出现当日就“宰杀”几十款国际外出名杀毒软件及防火墙，该病毒经常使用一种名为IFEO劫持的技术，造成众多杀毒软件无法运转的要素也在于此，个别网民或者会问终究什么是IEFO劫持？IEFO劫持也称为Windows文件映像劫持技术，在Windows注册表中有一项Image File Execution Options，重要用于调用对应程序，系统自动必定要有超级治理员级别用户才有权修正。当此项被用户误改或出现缺点时运行程序就会凌乱，用户会发现运转的并不是自己指定的程序，例如双击IE后却跳出了Outlook的窗口，运转Word却关上了Excel，运行程序之间相互笼罩，这时就出现了映像劫持现象。理论这种状况很少出现，即使出现了多半也都是由于局部程序写入注册表时有意破坏了此项。而AV终结者正是应用了这个少有人留意的中央，病毒侵入系统后首先篡改注册表中的Image File Execution Options项，查找系统中装置的安保类软件并在此交流为自身。由此就出现了用户关上杀毒软件时丝毫没有反响或运转了其余程序，这时杀毒软件曾经被病毒屏蔽从新定向了，系统此刻调用进去的正是病毒。于是有用户不停点击杀毒软件宿愿能启动，却不知这是在不停运转病毒文件，直到最后少量病毒同时运转系统资源耗尽。可以说映像劫持技术为众多恶性病毒又提供了一条回避追杀的方法，理论的反病毒技术都会先从系统启动项、系统服务等处阻拦病毒开机智能运转。而一旦病毒应用IFEO技术劫持了杀毒软件以至开机后系统智能加载杀毒软件时却智能运转了病毒。同时，映像劫持实施容易，只需在Image File Execution Options项下多加一行代码就能劫持对应程序，可以说稍懂注册表的人都能做到。这就让人不得不担忧一些病毒制造者看到AV终结者大获成功后，纷繁将指标瞄准于此，造成映像劫持技术众多，相似的病毒将簇拥而出，网络安片面临严格要挟。因此以后要严密防范此技术的滥用，无法漫不经心。下周安保状况预警 高病毒称号：AV终结者（Win32.Troj.Poseidon）病毒类型：Win32病毒危害水平：★★★★☆中毒症状：鉴于AV终结者弱小的破坏力且极有或者衍生变种，本周继续预警。中断并破坏少量杀毒软件运转，感化可移动存储设施，无法进入安保形式，下载其它病毒木马。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\监禁随机8位数字字母组成的.dll与同名.bat文件。处置方法：下载最新专杀（），及时更新杀毒软件严密监控。 uac是什么

微软的Vista正式版刚刚推出，我就启动了安保测试，发现Vista系统只管在安保性上有所提高，然而仍有一些破绽被陆续发现进去。最近Vista系统的“用户账户控制”性能就被发现存在瑕疵。www.sq120.com介绍文章前不久，咱们预言过微软Vista系统或者出现的破绽。就在这话音刚落不久，被微软寄托厚望的用户账户控制性能（UAC），被发现存在性能缺陷破绽。黑客可以经过捆绑文件绕过用户账户控制性能的限度，让木马程序善报多磨地进驻用户的系统。UAC的实践作用UAC的全称叫做User Account Control，即用户账户控制，它是Vista系统标记性的一项安保特色，可以防止用户对计算机启动未经授权的更改。UAC 的性能是要求用户在口头或者会影响计算机运转的操作，或口头更改影响其余用户的设置的操作之前，提供权限或治理员明码。装置Vista系统的时刻，会创立一个附属于系统的Administrators治理员组的新用户，以前版本中，只需是附属于Administrators治理员组的账户，就可以对该计算机系统启动恣意的操控。然而到了Vista系统以后，这个组的账户只要反经常常使用系统的权限，即规范用户权限。便捷地说，咱们运转Windows提升巨匠，UAC就会弹出窗口征询用户能否运转，由于Windows提升巨匠被UAC以为或者会影响本计算机其余用户的 Windows 性能，并且揭示用户审核操作的称号以确保它正是自己要运转的性能或程序。UAC被轻松穿透性能一个木马的服务端程序，这里咱们经常使用的是灰鸽子木马。运转文件捆绑器，将木马服务端程序和一个正式文件启动捆绑。运转捆绑工具“万能文件捆绑器”，点击“减少文件”按钮减少服务端和正式文件，最后点击“捆绑文件”按钮即可捆绑成功（图1）。将捆绑的文件发送到指标用户处，当用户选用“以治理员身份运转”命令启动运转（图2）。这个时刻UAC就会弹出一个窗口让用户选用能否运转，只需用户选用赞同运转，木马服务端就会进驻Vista系统。点击木马客户端中的“文件治理”命令，在远程磁盘中随意找一个程序，点击鼠标右键选用“远程关上→反常运转”，咱们发现该程序曾经绕过UAC的阻止，成功运转了（图3）。经过前面的引见咱们可以看出，当用户确认装置或运转某款程序以后，UAC性能就会以为由该程序加长进去的关系命令和操作会同时具备和该程序一样的权限。比如刚刚赞同口头捆绑文件后，木马服务端也获取雷同的治理员权限。经过这种方法绕过UAC性能限度以后，黑客就可以在系统中得心应手了。当然了，假设Vista中装有杀毒软件，黑客想要入侵成功，就要求对木马启动免杀处置了。

From: