一次 ARP 欺骗病毒实战
下午一点钟左右,有”同学”报告公司网络开始变慢,马上查看 Cacti 的监控情况, 发现公司总带宽还并没有跑满,但可以看到相应的有一段比较长的时间维持在高峰状态, 而不是象正常情况下不断有起伏。
如图: ![arp deception [linux系统管理] Security 流量控制 一次 ARP 欺骗病毒实战](https://www.icocean.com/blog/wp-content/uploads/auto_save_image/2013/03/023835cYt.png "[linux系统管理] Security 流量控制 一次 ARP 欺骗病毒实战")
然后查看 iptraf,看能不能找到相应的 MAC 地址,结果发现有一个 MAC 地址几乎占据 了全部的流量,而其他 MAC 则几乎完全没有流量,于是 Continue reading »
3月 252013
3月 162013
设计破坏伊朗铀浓缩离心机的恶意程序Stuxnet具有一些非同寻常的特征:它只攻击伊朗纳坦兹铀浓缩工厂离心机控制电脑上运行的西门子工控软件,其它地方的电脑即使感染了也不会有任何问题发生。它普遍被认为是美国和以色列网络战部队合作的结晶,是一个典型的国家资助恶意程序。过去几年,安全公司发现了多种疑似国家资助开发的恶意程序,除Stuxnet外,还有Flame、Duqu和Gauss,它们彼此之间被发现存在联系,被认为是同一批开发者开发。其中去年卡巴斯基发现的恶意程序Gauss最值得关注,幕后开发者看上去吸取了Stuxnet被曝光的教训,Gauss包含了难以破解的秘密负载,设计监视中东地区计算机上的敏感银行数据,能盗取黎巴嫩银行中的客户资金,是第一种国家资助的银行木马。
Gauss的多个模块都以知名近代数学家名字命名(如卡巴斯基实验室公布的这张图所示),像高斯、哥德尔和拉格朗日。为了破解其加密负载的密钥,密码破译专家尝试了数百万次,都无功而返。 Continue reading »
11月 152011
F-Secure今天发布警告称,原本签署给马来西亚农业研究与发展研究所的电子证书似乎已经泄露,黑客利用其为大量恶意软件签署认证,这样会让最终用户的系统可以直接信任这些恶意软件并且大多不加提示。
利用该证书传播的恶意软件目前已经确认有一个,它主要攻击Adobe Reader 8 PDF阅读器,在打开被感染的文件后,系统会自动访问恶意软件服务器。
在过去几年中,已经有越来越多的私钥被滥用,最有名的例子之一是Stuxnet蠕虫病毒破坏伊朗的核计划,它们使用了两个来自台湾公司的签名绕过了操作系统安全机制的堵截。后来发生的Mozilla插件和Skype凭据伪造手法也是如出一辙。 Continue reading »
12月 262008
嗯,刚才看到一个文章,说用冰刃解决一个向Explorer和Winlogon中插入DLL的病毒,卸除Explorer中的DLL没有问题,但是如果卸除Winlogon中的DLL,系统就重启了,这个有办法对付的!
首先,打开冰刃,结束进程SMSS.exe,接下来,就可以直接将Winlogon.exe结束进程了(顺序很重要!!),这时系统不会重启,但是任务管理器已经调不出来了!
接下来,可以杀死Explorer.exe、svchost.exe、Services.exe等系统进程和所有的用户进程,但是System Idle Process、SYSTEM、CSRSS.exe和冰刃自身这几个进程个不要动,其他的,可以统统结束掉,接下来,就可以删除病毒的所有文件和驱动了,全都解决以后,用冰刃结束CSRSS.exe,强制重启系统就可以了。
这个重启虽然有点。。。。
不过,不失为对付恶性病毒的一种方法,可以营造出,比安全模式更安全的系统来~
本文为SONGBOWEN原创,转载请注明出处!谢谢! Continue reading »
12月 252008
C:\WINDOWS\system32\meassrv.exe
C:\WINDOWS\system32\mcvcea.exe
C:\WINDOWS\system32\msconfig.exe
http://www.qq5.com
http://www.97sky.cn
C:\WINDOWS\system32\meassrv.exe runsrv /name:”Remote Access” /prinum:”32″ /cmdline:”C:\WINDOWS\system32\mcvcea.exe”
5月 212007
瑞星VS微点,国内第一桩封杀丑闻,全过程大披露!
2006年10月22日 星期日 16:11
古往今来,一个伟人的诞生,背后都有一段凄美的故事,一个新事物的诞生,也注定了它不平凡的命运…
“瑞星”,无庸置疑,是中国计算机业界的一个奇迹,国内杀毒市场的绝对霸主,瑞星从当初只剩10万资金,同时还欠着15万广告费的窘境,到现今占据国内杀毒市场60%以上的份额的壮观。甚至于人们一提到病毒,就联想到瑞星。
这个奇迹是谁创造的?是刘旭。
瑞星的成就,或许对刘旭来说,是幸运的,但老天偏偏爱和他开玩笑,从一手成就瑞星的奇迹,再到被瑞星的原始出资人,一个卑鄙的商人王莘过河拆桥,再到自主研发的微点主动防御软件遭到官商勾结的封杀,这一路走来,或许刘旭已经不会感到幸运了,为他人做嫁衣,恩将仇报,这类事情发生在任何一个人身上,都是一种不幸…
现在我将一步步的为大家讲述微点受压迫、封杀的前因与经过… Continue reading »
5月 212007
卡巴斯基官方对将瑞星卡卡视为病毒这一事件发表声明
2007 年5月19日上午,卡巴斯基公司接到瑞星公司来电,称卡巴斯基反病毒软件将瑞星卡卡当作病毒“查杀”,要求卡巴斯基解决这一问题。卡巴斯基公司当即表示,卡巴斯基将在保障用户安全的前提下,立即安排病毒分析工程师对瑞星卡卡在用户计算机内的行为进行全面评估。鉴于卡巴斯基在全球均奉行“用户安全第一”的保护原则,对任何可能对计算机安全造成威胁的进程都会向用户提出警告,即使这些进程来自于商业软件。事实上,绝大多数全球领先的商业软件厂商在将其软件推向市场时,都很重视其软件与卡巴斯基反病毒软件的兼容性。
令人吃惊的是,卡巴斯基公司负责媒体宣传的部门很快发现互联网上出现了多篇以“卡巴斯基查杀瑞星卡卡 导致大量用户无法正常升级”为题、内容完全一样的新闻稿,最早的一篇于2007年5月19日15点05分43秒发布在瑞星官方网站上。
为避免用户、公众受到不准确信息的干扰,切实保障用户网络安全,卡巴斯基公司特就瑞星公司指称卡巴斯基反病毒软件“查杀”瑞星卡卡一事,发表如下声明:
一、卡巴斯基是全球技术领先的安全软件厂商,卡巴斯基反病毒软件是专业而领先的安全软件,卡巴斯基将用户安全放在第一位,专注于应对病毒、木马、蠕虫、恶意程序等任何可能影响计算机安全的威胁,并保护用户远离这些威胁。卡巴斯基并不是针对任何一款特定软件的卸载工具,也不事先假定任何软件是恶意软件或流氓软件;当然,如果某一软件包含上述任何可能对用户安全造成影响的威胁,卡巴斯基会实时的、负责任的提醒用户注意这些威胁,直到这些威胁在那些软件进行相应修正后消失。 Continue reading »