微点交流论坛

标题: [转贴]警惕！新型CIH能随时发作。 [打印本页]

作者: sxh_sxh 时间: 2006-5-14 10:47 标题: [转贴]警惕！新型CIH能随时发作。

通过slicing 技术发现，该木马（病毒）以CIH核心代码和运行原理为基础，增加了引导区执行指令，并修改了CIH指定的发作时间（4月26日），以反弹木马+PE木马+病毒为构架，隐藏可见进程，躲避杀软的监控与查杀以及防火墙的阻截。
1、特征：
木马（病毒）体长度4,698 字节，偏移位置0x240；特征代码长度0x40，特征码：
53 9D 45 24 F8 33 DB 64 87 03 E8 00 00 00 00 6C 8D
7B 49 53 50 50 YF 03 9C 24 OE OB 03 C5 PC FA 8B 0B
96 8B 6K OC 8D 91 22 55 66 8P 73 FC C1 EE 00 86 89
74 01 9E DC 55 8C E0 4B 48 YC F3 A4 83
2、运行原理：病毒体不没有改变宿主文件大小，绕过ActiveX、C＋＋，利用VxD接口编程，直接杀入Windows内核；病毒体中附带引导执行指令，占据INT 13H，植入以上特征代码，修改DOS系统数据区的内存总量，并写COM和EXE文件，但不执行病毒程序与宿主程序的切换，以减少特征行为，躲避杀软的监控与查杀以及防火墙的阻截。
3、危害：从镶入时间开始（不再是常规的4月26日）执行fragmented cavity attack，将病毒化整为零，拆解后插入宿主文件中，通过主板的BIOS端口地址0CFEH和0CFDH向引导块boot block内各写入一个字节的乱码，彻底破坏BIOS原数据，同时调用Vxd call IOS_SendCommand直接对硬盘进行存取，将垃圾代码以2048个扇区为单位，从硬盘主引导区循环写入硬盘，破坏硬盘（含逻辑盘）数据。
附：CIH原特征码：
55 8D 44 24 F8 33 DB 64 87 03 E8 00 00 00 00 5B 8D
4B 42 51 50 50 0F 01 4C 24 FE 5B 83 C3 1C FA 8B 2B
66 8B 6B FC 8D 71 12 56 66 89 73 FC C1 EE 10 66 89
73 02 5E CC 56 8B F0 8B 48 FC F3 A4 83

请大家注意！！！

[ Last edited by sxh_sxh on 2006-6-5 at 12:28 ]

作者: 囚中城 时间: 2006-5-14 17:08
现在打上补丁了应该好点

作者: sxh_sxh 时间: 2006-5-15 22:24
不知微点能防吗？
相信能防！！！

作者: msn007 时间: 2006-5-20 18:01
本贴来自杭州市志愿者论坛

未经允许严禁转贴

[ Last edited by msn007 on 2006-5-23 at 14:18 ]

作者: 光能使者 时间: 2006-5-21 15:12
天哪!这么厉害,微点对它有效吗???????????

作者: xiaobing72 时间: 2006-6-2 22:05
是啊，微点可以杀么？

作者: 神舟六号 时间: 2006-6-2 22:15
要干坏事，就要有动作。有动作，微点一定能处理！！！

作者: 蟋蟀 时间: 2006-6-4 01:00
毒，烦人。

作者: kingxc 时间: 2006-6-4 16:04
什么事都有可能发生，什么事也都会解决，

作者: sxh_sxh 时间: 2006-6-5 12:27

Quote:

Originally posted by msn007 at 2006-5-20 18:01:
[本贴来自杭州市志愿者论坛

未经允许严禁转贴

[ Last edited by msn007 on 2006-5-23 at 14:18 ]

你是taylor0577、寿宁.人间雨、春林？
如果不是请不要乱警告。
对病毒人人都可以警世，杭州市志愿者论坛只对规则包规定“严禁转贴”。
如果你是taylor0577、寿宁.人间雨、春林，请在杭州市志愿者论坛给偶发短消息。

[ Last edited by sxh_sxh on 2006-6-5 at 13:51 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn