這些天爲惡意軟件的入侵所苦惱,早晨公司電腦上居然出現灰鴿子。
於是研究了一下惡意軟件是如何繞過IE的安全策略和殺毒軟件溜進我的電腦的。
成果如下:
殺毒軟件就不說了,惡意軟件出的比牛毛還多,國貨沒有當自強,老外的殺毒軟件又“不瞭解中國國情 ”,所以只有“憑我二十年從醫經驗”來判斷了。手工抓出惡意軟件幾十個,簡單說一下特點,莫名其妙的啓動項,windows以及system32下名字奇怪(數字和字母組合)的可執行程序,而且好多還加了系統和隱藏熟悉(開玩笑,都在這目錄了還又系統又隱藏,肯定有鬼),名字和系統已存在程序相近的--什麼svch0st.exe、scvhost.exe、什麼windows.exe,隱藏的dll文件等等,最牛的是發現了一個jpg和一個bmp格式的病毒,呵呵天下越來越不太平了,bmp那個是914847M.BMP,你的電腦windows目錄下有的話恭喜你中招了,還有那個jpg叫shua.jpg,它們的明顯特徵就是該圖片不能看,另外D盤根目錄的mplay.pif和mplay.exe都是病毒啦
說到這裏推薦一下瑞星卡卡,914847M.BMP發現後一直不知道他是怎麼搞的,用卡卡發現了原來惡軟越來越底層越來越牛了。好了瑞星廣告做完,找瑞星要推廣費去……
那麼怎麼沒有見到提示下載惡意軟件就安家了呢?經過我的“仔細”研究,發現一種方法是利用ado組件的一些功能下載了惡軟並在本地執行(繞過了IE不允許腳本運行可執行程序的限制),另外一種就是把真實的腳本編碼,在本地解碼再執行。爲了避免被有惡意的人學會,暫不公佈其代碼,有興趣的人可以自己去中一個試一下然後獲取惡意網頁源代碼看看。
準備研究一個對付惡軟的“土炮”,我不會作PE文件分析,不會搞病毒特徵碼只好用簡單的方法試試了,有成果時拿出來“秀”一下。
OK,造土炮去啦~~~