找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1370|回复: 7

警惕“兽兽门”作案

[复制链接]

该用户从未签到

发表于 2010-3-23 23:36:24 | 显示全部楼层 |阅读模式
本帖最后由 Pledges 于 2010-3-23 23:39 编辑

病毒概述:  
"兽害者"是一款功能完备的远程监控类木马,该木马会让用户毫无隐私可言,中毒后,电脑上的图片、视频、文档等文件均可能被黑客偷取.  

   
更严重的是,如果装了视频的用户,很有可能在毫无发觉的情况下被偷窥,因为黑客可以关闭摄像头灯,让中毒者无法发觉自己已经被监视,电脑沦陷为黑客的"第 三只眼"...  

   
病毒特点:  
1.伪装好、隐蔽强:该木马的启动方式比较特殊,它会伪造成PDF阅读器的服务来加载病毒体,一般的防御软件都会放行(见图1);同时,由于该木马采用线 程插入系统文件的方式进驻内存(见图2),用户中毒后机器上不会有多出来的可疑进程,且占用资源较小,使用户不易发觉.该木马的后缀名伪装成.pdf,实 际上是一个.dll文件(见图3)
2.不易查杀:用户在中毒后,会发现部分安全软件出现扫描按钮被禁用、提示信息一闪而过等情况,均是该病毒在通过监视窗体、类名等手段在干扰安全软件;同 时,如果企图用冰刃等工具卸载掉该木马的模块,svchost.exe进程会立即复苏,导致用户无法彻底清除"兽害者"木马.


3.变种多:该木马的生成器为了逃脱杀软"特征码"的定位,采用大量字符串加密的方式,并且,该木马会释放出来的DLL文件名和服务名均是随机生成,不易 定位.




中毒症状:
1.安装的部分安全软件出现按钮无法显示:如"清除"、"开始查杀"等按钮被隐藏;扫描或提示界面闪一会就消失:如"安全提示"等右下角提示的实时提示框 被屏蔽.
2.用金山急救箱扫描,发现伪造成PDF阅读器的可疑开机启动服务(见图4)
3.机器网络发生间歇性堵塞,系统进程联网、上传文件(需安装网络流量监控软件)
4.安装并开启文件监控软件FileMon,会看到svchost.exe进程不断访问%System%目录下的某pdf文件(见图5)



3.安装金山网盾,在浏览网页时,对金山网盾未信任的网站打开要慎重.

写在最后:
从央视主持**斌的不雅照被黑客恶意盗取到兽兽门视频被疯狂转载,不论是窥视欲作祟还是金钱驱动,这些事件带给网民们更多的思考应该是如何积极的防御、保 护自己的隐私,拒 绝成为黑客的"肉鸡"、网络的"僵尸".否则,你将成为下一个"兽害者"...




以上来自毒霸研发部病毒分析员

该用户从未签到

发表于 2010-3-23 23:46:06 | 显示全部楼层
知道了知道了。。。  
  兽兽前男友又在作怪!

该用户从未签到

发表于 2010-3-23 23:55:25 | 显示全部楼层
兽男又想爆料吗

该用户从未签到

发表于 2010-3-24 00:47:01 | 显示全部楼层
兽兽门种子  好像是 sk 给我的, 貌似没毒

该用户从未签到

发表于 2010-3-24 02:29:14 | 显示全部楼层
跪求兽兽门种子.....

该用户从未签到

发表于 2010-3-24 08:00:40 | 显示全部楼层
兽兽门???  我喜欢

该用户从未签到

发表于 2010-3-24 11:34:07 | 显示全部楼层
我有剪辑版的  无毒 安全

该用户从未签到

发表于 2010-3-24 18:55:21 | 显示全部楼层
哈哈,我邮箱里有。
没毒的。!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表