免费在线文件查毒-可疑文件在线扫描

今天从一个网站上看到这么个东西,于是自己就“偷”以一份过来,索然功能不是很强大,但是网址还是收集的比较全的。本来是想添加一个导航链接的,但是折腾了半天发现这个主题和以前用的主题不是十分一样, 没有找到从哪里修改,如果有人知道的话还望不吝赐教。页面效果如下图所示:

猛击此处访问该页面,如果有什么问题可以在此处跟贴说明 smile

金山安全中心截获的“逆名”木马

金山安全中心截获的“逆名”木马,感染txt或jpg为后缀的文件,打开文档和图片也会中毒,金山卫士完美清除。今天开机的时候看到这么一个东东。刚开始没注意以为是什么高深的东东,后来一看,咦!咋这么眼熟呢~猛击那个窗口上的“了解详情”(这个链接可以点的哦!),发现内容竟然和偶在9月份发布的那篇文章分析的东西是差不多的 laugh 。唉,一看金山的安全专家就知道是不看《非安全》滴。要不早就应该知道啦,猛击此处可以查看那期杂志的目录
今天貌似是11.4号,搜索了一下那个东西。貌似最早是金山10-29号发布滴。比偶慢,嘻嘻。 smile

ps:顺便扯下蛋,卡巴斯基免费一年鸟,猛击此处领取激活码(领取了要在一个星期之内激活哦,要不就无效啦~ 8) )。

Win32AutoRun.Agent.NZ 蠕虫感染文件的简单分析和文件修复 (续)

Win32AutoRun.Agent.NZ 蠕虫感染文件的简单分析和文件修复 (续)
—Tmp81.exe文件的相关分析

今天看到杂志上编辑关于《Win32AutoRun.Agent.NZ 蠕虫感染文件的简单分析和文件修复》一文的评论。感觉那么写确实是肤浅了一些,关键的地方没有进行分析。当时写那篇文章的目的就是文件的修复,所以没有对释放的文件进行进一步的分析。现在我们来分析病毒的全部幕后操作。

简单说下temp81文件的获取,用OD载入上篇文章中的病毒样本“ctc已感染.exe”,并且配置好相关的测试环境。运行FileMon排除掉系统进程以便减少数据量(主要监视“ctc已感染.exe”);同时运行Wireshark,选择相关网络适配器后开始捕获数据。在004D3132 FFD0 call eax 这一行下F2断点,F9运行程序,程序中断后定位到当前用户的temp文件夹下就可以看到释放的程序了,如图01。继续F9运行程序,程序完全运行后注意观察文件监视器(FileMon),发现tmp81.exe请求创建了以下的程序:6to4.dll(如02),lpk.dll(此文件请求失败,最终调用system32下的同名文件,如03),TempDel.Bat(图04)。虽然程序显示创建了TempDel.Bat但是由于最后释放的批处理文件功能是删除自身以及释放的文件,所以程序在运行后是找不到这个文件以及释放的tmp81.exe的。TempDel.Bat的获取在可以OD动态调试tmp81.exe的时候运行tmp81.exe就可以得到批处理文件的内容了,如图05,我们之所以能获取这个批处理文件是由于tmp81.exe正在执行中,所以会删除失败,通过批处理文件的内容可以看到如果删除失败,批处理会不断的尝试再次删除释放的文件直到删除成功,这就是我们为什么可以得到删除自身的批出来文件的原理了。

Continue Reading

关于强制修改主页软件的简单应对办法

现在很多的软件都喜欢修改ie的主页,虽然偶不用ie,但是偶尔登录什么网银之类的还是要用到那个万恶的ie。国内的所谓的安全措施就是给ie安装个控件,然后进行所谓的安全操作。而至于修改ie的主页主要目的,是为了流量(网赚)或者是百毒的软件合作推广。于是有的所谓的共享软件就会强行修改ie主页了,比如AntiARP合作版,新版本的赛博QQ,都会强行修改ie主页并且和小强一样杀都杀不死 laugh

Continue Reading