微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » [转贴]警惕!新型CIH能随时发作。  

作者:
标题: [转贴]警惕!新型CIH能随时发作。
sxh_sxh
版主

灌水区版主


积分 818
发帖 810
注册 2005-12-10
#1  [转贴]警惕!新型CIH能随时发作。

通过slicing 技术发现,该木马(病毒)以CIH核心代码和运行原理为基础,增加了引导区执行指令,并修改了CIH指定的发作时间(4月26日),以反弹木马+PE木马+病毒为构架,隐藏可见进程,躲避杀软的监控与查杀以及防火墙的阻截。
     1、特征:
    木马(病毒)体长度4,698 字节,偏移位置0x240;特征代码长度0x40,特征码:
53 9D 45 24 F8 33 DB 64 87 03 E8 00 00 00 00 6C 8D
7B 49 53 50 50 YF 03 9C 24 OE OB 03 C5 PC FA 8B 0B
96 8B 6K OC 8D 91 22 55 66 8P 73 FC C1 EE 00 86 89
74 01 9E DC 55 8C E0 4B 48 YC F3 A4 83
    2、运行原理:病毒体不没有改变宿主文件大小,绕过ActiveX、C++,利用VxD接口编程,直接杀入Windows内核;病毒体中附带引导执行指令,占据INT 13H,植入以上特征代码,修改DOS系统数据区的内存总量,并写COM和EXE文件,但不执行病毒程序与宿主程序的切换,以减少特征行为,躲避杀软的监控与查杀以及防火墙的阻截。
    3、危害:从镶入时间开始(不再是常规的4月26日)执行fragmented cavity attack,将病毒化整为零,拆解后插入宿主文件中,通过主板的BIOS端口地址0CFEH和0CFDH向引导块boot block内各写入一个字节的乱码,彻底破坏BIOS原数据,同时调用Vxd call IOS_SendCommand直接对硬盘进行存取,将垃圾代码以2048个扇区为单位,从硬盘主引导区循环写入硬盘,破坏硬盘(含逻辑盘)数据。
附:CIH原特征码:
55 8D 44 24 F8 33 DB 64 87 03 E8 00 00 00 00 5B 8D
4B 42 51 50 50 0F 01 4C 24 FE 5B 83 C3 1C FA 8B 2B
66 8B 6B FC 8D 71 12 56 66 89 73 FC C1 EE 10 66 89
73 02 5E CC 56 8B F0 8B 48 FC F3 A4 83

请大家注意!!!

[ Last edited by sxh_sxh on 2006-6-5 at 12:28 ]

※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

  
偶真想*
2006-5-14 10:47
查看资料  发短消息   编辑帖子
囚中城
版主

微点茶室甜点师


积分 3808
发帖 3688
注册 2006-1-3
来自 拿灵魂换生命的地方
#2  

现在打上补丁了应该好点

※ ※ ※ 本文纯属【囚中城】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2006-5-14 17:08
查看资料  发短消息  QQ   编辑帖子
sxh_sxh
版主

灌水区版主


积分 818
发帖 810
注册 2005-12-10
#3  

不知微点能防吗?
相信能防!!!

※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

  
偶真想*
2006-5-15 22:24
查看资料  发短消息   编辑帖子
msn007
新手上路





积分 2
发帖 2
注册 2006-5-20
#4  

本贴 来自 杭州市志愿者论坛

未经允许 严禁转贴

[ Last edited by msn007 on 2006-5-23 at 14:18 ]

※ ※ ※ 本文纯属【msn007】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-5-20 18:01
查看资料  发送邮件  发短消息   编辑帖子
光能使者
新手上路





积分 13
发帖 13
注册 2006-5-20
#5  

天哪!这么厉害,微点对它有效吗???????????

※ ※ ※ 本文纯属【光能使者】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-5-21 15:12
查看资料  发送邮件  发短消息   编辑帖子
xiaobing72
新手上路





积分 40
发帖 40
注册 2006-6-2
#6  

是啊,微点可以杀么?

※ ※ ※ 本文纯属【xiaobing72】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-6-2 22:05
查看资料  发送邮件  发短消息   编辑帖子
神舟六号
新手上路

初级会员



积分 31
发帖 31
注册 2005-10-30
#7  

要干坏事,就要有动作。有动作,微点一定能处理!!!

※ ※ ※ 本文纯属【神舟六号】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-6-2 22:15
查看资料  发短消息   编辑帖子
蟋蟀
新手上路





积分 1
发帖 1
注册 2006-6-4
#8  

毒,烦人。

※ ※ ※ 本文纯属【蟋蟀】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-6-4 01:00
查看资料  发短消息   编辑帖子
kingxc
新手上路




积分 35
发帖 35
注册 2006-6-4
#9  

什么事都有可能发生,什么事也都会解决,

※ ※ ※ 本文纯属【kingxc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[url=http://www.frtx.net]斐然天下-因你而精彩[/url]
2006-6-4 16:04
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
sxh_sxh
版主

灌水区版主


积分 818
发帖 810
注册 2005-12-10
#10  



  Quote:
Originally posted by msn007 at 2006-5-20 18:01:
[本贴 来自 杭州市志愿者论坛

未经允许 严禁转贴

[ Last edited by msn007 on 2006-5-23 at 14:18 ]

你是taylor0577、寿宁.人间雨 、春林 ?
如果不是请不要乱警告。
对病毒人人都可以警世,杭州市志愿者论坛只对规则包规定“严禁转贴”。
如果你是taylor0577、寿宁.人间雨 、春林,请在杭州市志愿者论坛给偶发短消息。

[ Last edited by sxh_sxh on 2006-6-5 at 13:51 ]

※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

  
偶真想*
2006-6-5 12:27
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号