机器狗11月14日发现新变种
此版本机器狗比我遇到的上一版本的重大变化就是中毒重起后任何一个盘符里都没有自动运行文件了(上一版本的下载进程是userinit.exe,这次是绿化.bat).只发现这点不同,其他方式仍然相同,利用共享漏洞攻击传播.不过这次系统已经打过了KB958644补丁,客户机未开SERVER服务,服务器也打了所有补丁.安装诺顿8.1黄金企业版,服务器均无异常,因此感觉此次病毒来源应该是移动硬盘类的东西,或者外挂或其他软件,机器狗感染策略改变,网页漏洞行不通,开始走钓鱼路线...这一天终于到来了.很早以前我就猜想过,如果说机器狗不利用网页漏洞来感染,那么肯定就会在外挂,绿色软件上下手.今天一看果然如此.
另外突然有个重大发现,此次变种会遍历所有目录,感染RAR文件..我刚下载的Freshow.rar就被感染了...
新变种名称为绿化.bat,文件信息如下:
文件: E:\desktop\new\new\绿化.bat
大小: 23552 字节
文件版本: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
修改时间: 2004年8月19日, 4:00:00
MD5: 60FCC2AB693A21235B7E5B6A0C37ADA9
SHA1: B2FD63A0335F2C97BDD1CDA5E55CD1F490A73905
CRC32: 4EB9EF7B
此次变种驱动为beep.sys,上一版本也beep.sys,也会穿透其他文件.任何软件的驱动防火墙里禁止beep.sys加载就可以达到防穿透效果.顺网6200可以禁止,只要开启驱动防火墙就不会穿透.
另外此次机器狗利用了不知道是什么的劫持功能,将www.baidu.com劫持到
222.215.119.43(前几天就封过了.)
220.181.6.18(百度的IP???)
218.95.101.242
这3个IP的某个IP上,懒的跟它耗着,于是没具体分析.
病毒下载列表.
引用内容
呵呵,还4那一套,封IP,封域名,一个变种对应的也是固定的IP和域名,所以嘛,封了IP,就算有毒也无所谓,只是被穿透,下不来病毒,全场穿透也不惧~不过如果穿透的驱动带盗号功能那就另说了噢~
在Virscan.org扫描过,具体信息请到
http://virscan.org/report/4c3af6eb670aa4efdcd834eb47bd9500.html
查看.
本站会第一时间跟进机器狗升级动态,一经发现会在博客上工具一些简单的技术细节.另外也请大家关注本站的封HOSTS封IP的最新升级信息!未雨绸缪,做好很多人认为徒劳的防御工作!
另外突然有个重大发现,此次变种会遍历所有目录,感染RAR文件..我刚下载的Freshow.rar就被感染了...
新变种名称为绿化.bat,文件信息如下:
文件: E:\desktop\new\new\绿化.bat
大小: 23552 字节
文件版本: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
修改时间: 2004年8月19日, 4:00:00
MD5: 60FCC2AB693A21235B7E5B6A0C37ADA9
SHA1: B2FD63A0335F2C97BDD1CDA5E55CD1F490A73905
CRC32: 4EB9EF7B
此次变种驱动为beep.sys,上一版本也beep.sys,也会穿透其他文件.任何软件的驱动防火墙里禁止beep.sys加载就可以达到防穿透效果.顺网6200可以禁止,只要开启驱动防火墙就不会穿透.
另外此次机器狗利用了不知道是什么的劫持功能,将www.baidu.com劫持到
222.215.119.43(前几天就封过了.)
220.181.6.18(百度的IP???)
218.95.101.242
这3个IP的某个IP上,懒的跟它耗着,于是没具体分析.
病毒下载列表.
引用内容http://www.hfdy2929.com/bak.txt
[update]
url=http://www.baidu.com/hun.exe
[file]
isfile=1
count=34
url1=http://218.95.101.242/cao/aa1.exe
url2=http://218.95.101.242/cao/aa2.exe
url3=http://218.95.101.242/cao/aa3.exe
url4=http://www.baidu.com/cao/aa4.exe
url5=http://218.95.101.242/cao/aa5.exe
url6=http://218.95.101.242/cao/aa6.exe
url7=http://218.95.101.242/cao/aa7.exe
url8=http://218.95.101.242/cao/aa8.exe
url9=http://www.baidu.com/cao/aa9.exe
url10=http://218.95.101.242/cao/aa10.exe
url11=http://218.95.101.242/cao/aa11.exe
url12=http://218.95.101.242/cao/aa12.exe
url13=http://218.95.101.242/cao/aa13.exe
url14=http://218.95.101.242/cao/aa14.exe
url15=http://218.95.101.242/cao/aa15.exe
url16=http://218.95.101.242/cao/aa16.exe
url17=http://218.95.101.242/cao/aa17.exe
url18=http://218.95.101.242/cao/aa18.exe
url19=http://218.95.101.242/cao/aa19.exe
url20=http://218.95.101.242/cao/aa20.exe
url21=http://218.95.101.242/cao/aa21.exe
url22=http://218.95.101.242/cao/aa22.exe
url23=http://218.95.101.242/cao/aa23.exe
url24=http://218.95.101.242/cao/aa24.exe
url25=http://218.95.101.242/cao/aa25.exe
url26=http://218.95.101.242/cao/aa26.exe
url27=http://218.95.101.242/cao/aa27.exe
url28=http://218.95.101.242/cao/aa28.exe
url29=http://218.95.101.242/cao/aa29.exe
url30=http://218.95.101.242/cao/aa30.exe
url31=http://www.baidu.com/cao/aa31.exe
url32=http://www.baidu.com/cao/aa32.exe
url33=http://218.95.101.242/cao/aa33.exe
url34=http://218.95.101.242/cao/aa34.exe
[update]
url=http://www.baidu.com/hun.exe
[file]
isfile=1
count=34
url1=http://218.95.101.242/cao/aa1.exe
url2=http://218.95.101.242/cao/aa2.exe
url3=http://218.95.101.242/cao/aa3.exe
url4=http://www.baidu.com/cao/aa4.exe
url5=http://218.95.101.242/cao/aa5.exe
url6=http://218.95.101.242/cao/aa6.exe
url7=http://218.95.101.242/cao/aa7.exe
url8=http://218.95.101.242/cao/aa8.exe
url9=http://www.baidu.com/cao/aa9.exe
url10=http://218.95.101.242/cao/aa10.exe
url11=http://218.95.101.242/cao/aa11.exe
url12=http://218.95.101.242/cao/aa12.exe
url13=http://218.95.101.242/cao/aa13.exe
url14=http://218.95.101.242/cao/aa14.exe
url15=http://218.95.101.242/cao/aa15.exe
url16=http://218.95.101.242/cao/aa16.exe
url17=http://218.95.101.242/cao/aa17.exe
url18=http://218.95.101.242/cao/aa18.exe
url19=http://218.95.101.242/cao/aa19.exe
url20=http://218.95.101.242/cao/aa20.exe
url21=http://218.95.101.242/cao/aa21.exe
url22=http://218.95.101.242/cao/aa22.exe
url23=http://218.95.101.242/cao/aa23.exe
url24=http://218.95.101.242/cao/aa24.exe
url25=http://218.95.101.242/cao/aa25.exe
url26=http://218.95.101.242/cao/aa26.exe
url27=http://218.95.101.242/cao/aa27.exe
url28=http://218.95.101.242/cao/aa28.exe
url29=http://218.95.101.242/cao/aa29.exe
url30=http://218.95.101.242/cao/aa30.exe
url31=http://www.baidu.com/cao/aa31.exe
url32=http://www.baidu.com/cao/aa32.exe
url33=http://218.95.101.242/cao/aa33.exe
url34=http://218.95.101.242/cao/aa34.exe
呵呵,还4那一套,封IP,封域名,一个变种对应的也是固定的IP和域名,所以嘛,封了IP,就算有毒也无所谓,只是被穿透,下不来病毒,全场穿透也不惧~不过如果穿透的驱动带盗号功能那就另说了噢~
在Virscan.org扫描过,具体信息请到
http://virscan.org/report/4c3af6eb670aa4efdcd834eb47bd9500.html
查看.
本站会第一时间跟进机器狗升级动态,一经发现会在博客上工具一些简单的技术细节.另外也请大家关注本站的封HOSTS封IP的最新升级信息!未雨绸缪,做好很多人认为徒劳的防御工作!
天下网吧·网吧天下
闽公网安备35010202000238号