»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
反病毒
» [转贴]警惕!新型CIH能随时发作。
作者:
标题: [转贴]警惕!新型CIH能随时发作。
sxh_sxh
版主
灌水区版主
积分 818
发帖 810
注册 2005-12-10
#1
[转贴]警惕!新型CIH能随时发作。
通过slicing 技术发现,该木马(病毒)以CIH核心代码和运行原理为基础,增加了引导区执行指令,并修改了CIH指定的发作时间(4月26日),以反弹木马+PE木马+病毒为构架,隐藏可见进程,躲避杀软的监控与查杀以及防火墙的阻截。
1、特征:
木马(病毒)体长度4,698 字节,偏移位置0x240;特征代码长度0x40,特征码:
53 9D 45 24 F8 33 DB 64 87 03 E8 00 00 00 00 6C 8D
7B 49 53 50 50 YF 03 9C 24 OE OB 03 C5 PC FA 8B 0B
96 8B 6K OC 8D 91 22 55 66 8P 73 FC C1 EE 00 86 89
74 01 9E DC 55 8C E0 4B 48 YC F3 A4 83
2、运行原理:病毒体不没有改变宿主文件大小,绕过ActiveX、C++,利用VxD接口编程,直接杀入Windows内核;病毒体中附带引导执行指令,占据INT 13H,植入以上特征代码,修改DOS系统数据区的内存总量,并写COM和EXE文件,但不执行病毒程序与宿主程序的切换,以减少特征行为,躲避杀软的监控与查杀以及防火墙的阻截。
3、危害:从镶入时间开始(不再是常规的4月26日)执行fragmented cavity attack,将病毒化整为零,拆解后插入宿主文件中,通过主板的BIOS端口地址0CFEH和0CFDH向引导块boot block内各写入一个字节的乱码,彻底破坏BIOS原数据,同时调用Vxd call IOS_SendCommand直接对硬盘进行存取,将垃圾代码以2048个扇区为单位,从硬盘主引导区循环写入硬盘,破坏硬盘(含逻辑盘)数据。
附:CIH原特征码:
55 8D 44 24 F8 33 DB 64 87 03 E8 00 00 00 00 5B 8D
4B 42 51 50 50 0F 01 4C 24 FE 5B 83 C3 1C FA 8B 2B
66 8B 6B FC 8D 71 12 56 66 89 73 FC C1 EE 10 66 89
73 02 5E CC 56 8B F0 8B 48 FC F3 A4 83
请大家注意!!!
[
Last edited by sxh_sxh on 2006-6-5 at 12:28
]
※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
偶真想*
2006-5-14 10:47
囚中城
版主
微点茶室甜点师
积分 3808
发帖 3688
注册 2006-1-3
来自 拿灵魂换生命的地方
#2
现在打上补丁了应该好点
※ ※ ※ 本文纯属【囚中城】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-5-14 17:08
sxh_sxh
版主
灌水区版主
积分 818
发帖 810
注册 2005-12-10
#3
不知微点能防吗?
相信能防!!!
※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
偶真想*
2006-5-15 22:24
msn007
新手上路
积分 2
发帖 2
注册 2006-5-20
#4
本贴 来自 杭州市志愿者论坛
未经允许 严禁转贴
[
Last edited by msn007 on 2006-5-23 at 14:18
]
※ ※ ※ 本文纯属【msn007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-5-20 18:01
光能使者
新手上路
积分 13
发帖 13
注册 2006-5-20
#5
天哪!这么厉害,微点对它有效吗???????????
※ ※ ※ 本文纯属【光能使者】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-5-21 15:12
xiaobing72
新手上路
积分 40
发帖 40
注册 2006-6-2
#6
是啊,微点可以杀么?
※ ※ ※ 本文纯属【xiaobing72】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-6-2 22:05
神舟六号
新手上路
初级会员
积分 31
发帖 31
注册 2005-10-30
#7
要干坏事,就要有动作。有动作,微点一定能处理!!!
※ ※ ※ 本文纯属【神舟六号】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-6-2 22:15
蟋蟀
新手上路
积分 1
发帖 1
注册 2006-6-4
#8
毒,烦人。
※ ※ ※ 本文纯属【蟋蟀】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-6-4 01:00
kingxc
新手上路
积分 35
发帖 35
注册 2006-6-4
#9
什么事都有可能发生,什么事也都会解决,
※ ※ ※ 本文纯属【kingxc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
[url=http://www.frtx.net]斐然天下-因你而精彩[/url]
2006-6-4 16:04
sxh_sxh
版主
灌水区版主
积分 818
发帖 810
注册 2005-12-10
#10
Quote:
Originally posted by
msn007
at 2006-5-20 18:01:
[本贴 来自 杭州市志愿者论坛
未经允许 严禁转贴
[
Last edited by msn007 on 2006-5-23 at 14:18
]
你是taylor0577、寿宁.人间雨 、春林 ?
如果不是请不要乱警告。
对病毒人人都可以警世,杭州市志愿者论坛只对规则包规定“严禁转贴”。
如果你是taylor0577、寿宁.人间雨 、春林,请在杭州市志愿者论坛给偶发短消息。
[
Last edited by sxh_sxh on 2006-6-5 at 13:51
]
※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
偶真想*
2006-6-5 12:27
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号