最近一段时间出现一种病毒,名为”西伯利亚渔夫”,该病毒使用了Rootkit技术,正常情况下会看不到文件,更险恶的是,该病毒会修改系统的DNS。
什么是DNS?
大家都知道,当我们在上网的时候,通常输入的是如:www.trendmicro.com.cn 这样子的网址,其实这就是一个域名,而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。DNS是指:域名服务器(Domain Name Server)。域名和IP之间的转换工作称为 域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
我们在一台电脑上,可以从两个地方获得一个域名所对应的IP,第一个是hosts文件,该文件的目录为C:\WINDOWS\system32\drivers\etc\hosts,可以文本文件打开编辑;第二个就是网络连接属性里的dns设置:
最近这事儿闹得沸沸扬扬的,不过似乎中招的呼声远没有漏洞本身的呼声大。这也说明了一个现象:虽然杀软很难做到对未知病毒的100%的防御,但是,现在已经做到在一个未知病毒出来后,极迅速地做出反应,以保证更多的用户不受病毒的攻击,正如我们趋势科技的云安全,在0day出现后7分钟就做出了反应,厉害吧~
等等,0day?什么是0day?
网络安全意思上的0day就是指一些没有公布补丁的漏洞,或者是还没有被漏洞发现者公布出来的漏洞利用工具,由于这种漏洞的利用程序对网络安全都具有巨大威胁,因此0day也成为黑客的最爱。
0day泛指所有在官方发布该作品之前或者当天,主要涵盖了影视、软件、游戏、音乐、资料等方面,由一些特别小组非法发布的数码内容。
下面我们就简单谈谈此次IE7的0day。
11月24日的感恩节,12月25日的感恩节,似乎已经成为一年一度的病毒暴发日。电子邮件贺卡,MSN和QQ上的祝福……都已成为病毒们钻空子的地方。
病毒通常会在邮件里添加病毒附件,文件通常是exe格式,部分会有jpg等图片格式。文件名通常都是与节日有关,比如利用圣诞节”下雪啦.exe”"给你的贺卡.exe”等等。除了附件是病毒之外,还有可能在邮件正文里加入恶意网站的链接,比如”我给你做了封贺卡,快去以下网页看啊”,等到用户点击该链接后,便会感染病毒。
除此以外,随着网络购物越来越火,”网页钓鱼”也逐渐出现在节日病毒中。比如某某网店趁着圣诞促销,给你的却是一个假的网站,尽管看上去与真网站一模一样。
通过MSN和QQ发送病毒的方法和邮件类似,不过主要是发送带毒附件给对方。而且由于MSN和QQ上大多都是你熟悉的人,所以很少提防,结果一点击,就中招了,结果便形成一个病毒网络。
下面便来让我们看看几个”节日病毒”的实例。
著名的MSN性感相册:
本文介绍的将是一种“奇特”的挂马方式:ARP挂马。
与前文介绍的服务器端网站挂马方式不同的是,ARP挂马并不是针对网站服务器端,也就是说,ARP挂马并没有入侵网站服务器,对网站的网页文件做出实质上的修改。这时也许你就会想,肯定是客户端那里中病毒了。不一定!ARP挂马的奇怪之处就在于:网站本身没有被修改,正在浏览该网站的客户机也没有感染病毒,但是用户正在浏览的网页却是被挂马的。
这就是ARP病毒在作祟。
让我们先来简单普及一下ARP的概念。
ISO将整个计算机网络通信功能划分为7个层次:
第七层 应用层
第六层 表示层
第五层 会话层
第四层 传输层
第三层 网络层
第二层 数据链路层
第一层 物理层
地址解析协议(Address Resolution Protocol,ARP)具体说来就是将网络层(IP层)地址解析为数据链路层(MAC层)的MAC地址。为什么要这样转换呢?因为局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。
小AV们不久前收到几张免费品尝西点的券券,于是兴致勃勃地按照券上的网址,想上网查查有什么可以免费品尝的。谁料正垂涎三尺之时,office scan提示将一链接阻挡——发现病毒!小AV们毕竟是专业人士,一点也没慌张,右击网页,选择查看源代码,思索了两秒钟不到,发现老朋友iframe(http://www.{BLOCKED}d.com/ngg.js),大家异口同声“吼吼,挂马咯”(http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HTML_BADSRC.C)
大家讨论了一下,鉴于这家西点还是挺有名的,上网光顾该店网页的食客应该不在少数,为了不让更多的人受“网马之害”,小AV们决定打电话给这家西点公司(看,这就是AV们的职业素质哇)。接电话的应该是前台,小AV们报了来历之后,就说“贵公司的网站有病毒,应该是被别人挂马了”,前台听到病毒二字,立马大惊失色。不过还好在小AV们的帮助下,前台弄清楚了怎么回事,然后通知他们的技术人员,终于该网站成功消灭了小马。
类似这样的事情,在互联网上每天都有很多起发生。现在病毒除了通过U盘传播,很大一部分都是通过网络传播。通过网络传播的途径主要有两种:1•本身携带病毒网站;2•原本健康的网站被恶意挂马。
如果因前者而中毒,那大多是因为用户本身的安全意识不足造成的。那如果是后者,用户和网站持有者就只能一肚子苦水了。尤其是网站持有者,看着网站日访问量持续低迷,只能糊里糊涂地蹲墙角画圈圈(汗~)。
所以本文将就网站持有者谈谈防止网页挂马的基本方法。(本文适合人群为大众网站编写者,非专业的安全和开发人员,旨在普及网站安全)
最近在用VB做一个clean possible_hifrm的小工具
一开始的做法,就是以unicode的格式读取文件内容到一个string,然后在string里匹配到iframe,然后删除,最后再回写
后来发现这样做之后,写回后的文件很多都无法打开
研究了一顿之后,发现是因为二进制编码的问题,以下摘自一个专家的答复:
从2005年12月起,
我,一共写了290篇博客。
你,是第386676位访客。
