摘要:读者赵林海,各大论坛上四处都是对于161816.com的求救帖,看来感化人数不少啊,读者万定意,我的电脑曾经被这个无比恶心的网站折磨一周了,毫无方法!读者顾昭,又是个篡改阅读器的恶意链接网站,赶快曝光它,近期,咱们留意到恶意链接网站又有所参与,与以往
读者 赵林海:各大论坛上四处都是对于161816.com的求救帖,看来感化人数不少啊。读者 万定意:我的电脑曾经被这个无比恶心的网站折磨一周了,毫无方法!读者 顾昭:又是个篡改阅读器的恶意链接网站,赶快曝光它。近期,咱们留意到恶意链接网站又有所参与,与以往ANI、ARP等感化形式不同,不法分子采取了多种病毒混合攻打方法,使网民中招后很难彻底肃清,例如www.161816.com就是这两周较为生动的一个恶链网站。读者纷繁反映访问该站后感化一切网页文件,并智能参与其链接地址,CPU占用率长期间到达100%,系统运转速度降低重大等。考查至该站Web.htm页面后,阅读器机灵片刻,随后杀毒软件立刻报警发现3个病毒。下载该页面检查源代码,此页区分从~web5.htm、.161816.com/pps.htm做了远程病毒调用。依据此线索追踪至后发现源代码已被做了加密,解码后终于显示出病毒源自的病毒集装箱,为了暗藏实在地址居然做了多重远程调用、代码加密,真是殚精竭虑。
找不到恶意进程的要素很多好友都遇到过自己觉得如同被植入了恶意程序,可在进程义务治理器中却找不到可疑进程的状况,这究竟是怎样回事呢?其实这是黑客耍的小花色,让恶意进程“透明”了。他们详细是怎样做的呢?上方咱们用远程控制软件Radmin和进程暗藏程序BlueStarHide来演示进程是如何“透明”的。进程为什么会从义务治理器中隐没呢?Windows操作系统中有个进程链表,保留了以后系统运转的一切进程的消息。用黑客工具除去进程链表中的进程,就可以到达暗藏进程的目标,从而使进程在义务治理器中不可反常显示。第一步 性能Radmin服务端首先运转《Radmin生成器》(软件下载地址),在“装置文件名”选项中设置服务端程序的称号,也就是该服务端程序进程的称号。接着设置服务端程序的启动服务,用户可以依照自己的想法设置“装置服务名”、“服务显示名”、“服务形容”等选项。而后在“明码”和“端口”选项中设置用于服务端程序衔接的端口和明码,端口号只能填写数字并且最多为5位,明码不要驳回不凡字符。最后点击“生成被控端”按钮,就会生成咱们须要的Radmin服务端程序。在生成被控端的同时,生成器也同时生成了一个名为Clear.exe的文件,它是用来肃清被控端的。第二步 上行暗藏进程程序如今将生成的服务端程序上行到远程系统并运转,接着运转Radmin的客户端程序,并点击工具栏中的“参与新衔接”,而后在弹出的窗口设置远程服务端的IP地址和衔接端口。设置实现后,远程计算机系统将智能参与到控制窗口。点击鼠标右键中的“文件传输”命令,在弹出的窗口中将进程暗藏程序BlueStarHide(软件下载地址),经过拖曳的形式上行到远程计算机系统中。第三步 口头进程暗藏操作因为进程暗藏程序BlueStarHide不能在Windows环境中间接运转,而只能在命令提示符窗口操作。因此在Radmin的客户端中,点击鼠标右键中的“Telnet”命令,而后在弹出的Telnet窗口中用CD命令进入BlueStarHide所在的目录。BlueStarHide的经常使用方法十分的便捷,只需口头:BlueStarHide Server.exe命令即可暗藏服务端进程Server.exe(进程名可以变)。而后关上义务治理器,在弹出窗口的进程标签中曾经不可看到Server.exe了。藏得再深也能揪进去只管经过系统的义务治理器不能启动检查,然而经过《冰刃》等外核级的安保工具,依然可以轻松地检测到暗藏进程的存在。并且为了提示用户的留意水平,《冰刃》还专门经过醒目标白色来对暗藏的进程启动标注(如图4)。当然并不是没有白色的进程就高枕无忧,大家最好同时关上义务治理器和《冰刃》,经过对两个进程列表中的消息启动对比,这样可以更为稳当地发现暗藏的进程消息。
ARP诈骗攻打的恶意网站如何制止 读者 周波:上午共事有意间关上此站后,半夜全公司的电脑都中毒了,病毒在网内患窜毫无方法。读者 郑斌:在该网站下载了一个小游戏,没想到运转后莫明其妙装置了一大堆恶意插件、病毒。如今关上任何网页都会事前衔接这个6658588.cn下载最新病毒。读者 李清:真宿愿杀毒软件和防火墙能参与有ARP攻打进攻性能,每次都被ARP诈骗什么时刻才是个头?上周突然产生了一个名为www.6658588.cn的恶意网站,仅一周期间就已片面迸发,各大安保论坛布满了对于它的求救帖,咱们也收到多达1647位读者的揭发邮件。在测试时咱们发现,该站用403失误作为首页以欲盖弥彰,但根目录中的ad.jpg、0614.js二级目录中的123.htm嵌有恶意代码。剖析样本后确认这是一个联结ANI光标蠕虫和ARP诈骗攻打的恶意网站。病毒将局域网内一切网址恳求先转发至指定的病毒页面上,再迅速跳转至真正要访问的网站,由此造成整个内网用户关上任何页面均报毒的状况。进一步查其域名、注册消息,显示该站于6月19日在万网注册。看来目标十明显确,专为施放恶意代码而建。鉴于危害的重大性,已将它的消息反应给万网恳求帮忙查封。已受感化的用户可尝试以下方法清算:1.在路由器(局域网用户)或IE受限度站点中屏蔽此站。2.装置Windows系统补丁,特意是MS07-17。3.经常使用“Anti Arp Sniffer”()等ARP进攻软件查出网内攻打源。4.断开中毒电脑的网络衔接,进入安保形式用杀毒软件对它启动彻底查杀。From:
