浏览模式: 普通 | 列表
现在人们总会遇到这样地情况,某天打开自己mail中的一个附件,因为那个mail的地址和自己一个同事的地址很像,因此没有多考虑就将附件下载打开了。不想这个附件是个病毒,它让自己的机器变的很慢,杀毒之后也没有太大作用。

其实,病毒、木马、和一些恶意软件,往往都会对Widnows的注册表下毒手,虽然破坏形式不尽相同,但是经过分析它们的破坏手法并非无规律可循。这里列出了一些用户系统中被易被修改的系统设置和注册表项。建议再换用其他木马专杀工具试一下,并再针对以下注册表键值进行检查,看看是否有被改动过的迹象。

系统设置文件

对于Widnows 9X系统,常见的是病毒修改可能会更改autoexec.bat,只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常会在win.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中将“shell=”更改。

注册表键值

目前,只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方:

在系统启动时自动执行的程序


HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\


在系统启动时自动执行的系统服务程序


HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\


在系统启动时自动执行的程序,这是病毒最有可能修改/添加的地方


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CLASSES_ROOT\exefile\shell\open\command


说明:此键值能使病毒在用户运行任何EXE程序时被运行,以此类推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便实现病毒自动运行的功能。

另外,有些健值还可能被利用来实现比较特别的功能:

有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:


HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =


为了阻止用户利用.REG文件修改注册表键值,以下键值也会被修改来显示一个内存访问错误窗口。

例如:Win32.Swen.B 病毒 会将缺省健值修改为:


HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror"


通过对以上地方的修改,病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行,已达到自动激活的目的。

推荐日志 通过系统权限法清理dll木马

[ 2007-03-25 03:23:55 | 作者: sun ]

相信大家对Dll木马都是非常熟悉了,它确实是个非常招人恨的家伙。它不像普通的exe木马那样便于识别和清理,这个家伙的隐蔽性非常强。它可以嵌入到一些如rundll32.exe、svchost.exe等正常的进程中去,让你找不到。即使找到了也难以清除,因为正常的进程正在调用它嘛。
我用的是Mcafee的杀毒软件,比如说它现在报告:


defds.dll:C:\ Documents and Settings\Administrator\Local Settings\ Temp\ defds.dll删除失败
fdgeg.com:C:\Windows\ime\fdgeg.com删除失败


那么可以知道defds.dll应该是个dll木马,我们可以通过冰刃icesword来查看系统的进程,找到调用该dll文件的进程。比如说是notepad.exe 我们可以先尝试着终止该进程。该进程如果终止后过不了多久又重新运行(而我并没有运行记事本),那么我们可以判定fdgeg.com就是notepad.exe的的守护进程。当它发现它所监视的notepad.exe进程被终止后会立刻将notepad.exe重新启用。

现在我们可以:我的电脑-----工具----文件夹选项-----查看,在高级设置的选项下去掉“简单文件共享”的钩子(我的电脑是XP操作系统,NTFS磁盘格式)

然后到C:\Windo0ws\ime下找到fdgeg.com,右键选择属性。在属性中选择”安全”,单击”高级”,在弹出的窗口中使“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”不被选中。再在弹出的窗口中单击”删除”,再依次单击”确定”。这样就没有任何用户可以使fdgeg.com工作了。

通过icesword终止notepad.exe,然后到C:\Documents and Settings\Administrator\Local Settings\Temp中删除defds.dll。然后到C:\Windows\ime中再找到fdgeg.com 右键属性,在属性中选择”安全”,单击”高级”,在弹出的窗口中选中“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”,然后删除它即可。最后别忘了在注册表的启动项中将这个dll木马删除。

这样,我们就彻底将这个讨厌的dll木马从我们的电脑中清除了。

推荐日志 安全技巧之用ZoneAlarm判断是否中木马

[ 2007-03-25 03:23:44 | 作者: sun ]

现在的木马真是越来越难防了,尤其是经过免杀处理的木马,一不小心就中招。

鼎鼎大名的ZoneAlarm防火墙大家用过没有,暂且不说它强大的功能,本人在使用一段时间后还发现了一点点其他的功能。

ZoneAlarm启动后会在托盘有一个图标,没通信的时候就是一个标志,有通信的时候就换成一个通信量的指示表,绿色为表示接收到的数据量,红色为从本机发出去的数据量。

利用这个通信量的衡量表,就可以实现系统的监控功能。大家知道,木马的服务端要与入侵者的木马控制端建立通信。当然,既然通信就有数据交换。木马要通风报信,就必须得向服务端发出数据,这时,红色的指示表就会飙升(有一个前提,就是在网络平静的情况下,就是说电脑没有通信操作。比如说,没有网页下载的动作。象我,开了几个网站,打开完后,通信量指示表就再也没指示了)。好吧,开始做实验,事实是最好的证据。在自己电脑运行了鸽子服务端,然后通过控制端进行操做。进行读取驱动器,查看系统进程等操作。看!红色的格子开始亮了,而且通信量也比平时大,尤其是查看屏幕或视频语音坚控后,红色的指示表飙升至满格!而且一直持续!

如果你没对系统进行网络操作,而指示灯一直在闪的话,就该好好查下了。此法也可以用用于3389端口——假如3389忘了关。

雕虫小技,一点点小聪明,只是大家没发现而已。

推荐日志 推荐:十类千万不能使用的密码

[ 2007-03-25 03:23:33 | 作者: sun ]
在信息技术普遍应用的时代,密码已经成为验证身份的主要手段,但有些密码千万不能使用。

1、密码和用户名相同

如:用户名和密码都是123456789。几乎所有盗取密码的人,都会以用户名作为破解密码的突破口。

2、密码为用户名中的某几个邻近的数字或字母

如:用户名为test000001,密码为test或000001。如果您的用户名是字母和数字组合,如:test000001,那么别人要盗取您的密码时,肯定会以用户名中的字母或数字来试密码。

3、密码为连续或相同的数字

如123456789、1111111等。几乎所有黑客软件,都会从连续或相同的数字开始试密码。如:先试111、111......到9999999999,然后再试123、321、234、1234......如果您的密码是111111、123456或654321,甚至用不着黑客软件也能在片刻试出。

4、密码为连续或相同的数字

如abcdefg、jjjjjjj等。字母虽然比数字多,但是先试相同的字母如aaaaa,再试连续的字母如abcde,黑客软件所用时间也不会太多。

5、将用户名颠倒或加前后缀作为密码

如用户名为test,密码为test123、aaatest、tset等。以用户名test为例,黑客软件在尝试使用test作为密码之后,还会试着使用诸如test123、test1、tset、tset123等作为密码,只要是你想得到的变换方法,黑客软件也会想得到,它破解这种口令,几乎不需要时间。

6、使用姓氏的拼音作为密码

在不少黑客软件中,百家姓往往都被一一列出,并放在字典的前列。只需片刻即可破解您的密码。以姓氏或姓名的拼音作为密码还存在一种危险:想盗您密码的人如果探听到您的真实姓名,就很有可能用您姓名中的拼音组合来试密码。

7、使用自己或亲友的生日作为密码

由于表示月份的只有1~12可以使用,表示日期的也只有1-31可以使用,表示日期的肯定19xx或xx,因此表达方式只有100×12×31×2=74400种,即使考虑到年月日共有六种排列顺序,一共也只有74400×6=446400种。按普通计算机每秒搜索3~4万种的速度计算,破解您的密码最多只需10秒。

8、使用常用英文单词作为密码

黑客软件一般都有一个包含10万~20万个英文单词及相应组合的字典库。如果您的密码在这个库中,那么即使字典库中有20万单词,再考虑到一些DES(数据加密算法)的加密运算,每秒搜索1800个,也只需要110秒。

9、使用8位以下的数字作为密码

数字只有10个,8位数字组成方式只有10的8次方=100,000,000种,按普通计算机每秒搜索3~4万种的速度计算,黑客软件只需要不到3小时就可以破解您的密码。

10、使用5位以下的小写字母加数字作为口令

小写字母加数字一共36位,组合方式只有36的5次方=60466176种可能性,按普通的计算机每秒搜索3~4万种的速度计算,黑客软件只需要25分钟就可以破解密码。

推荐日志 防止外部数据提交的脚本

[ 2007-03-25 03:23:21 | 作者: sun ]
提交时可能会有人修改Script从本地提交,这样存在安全提交的问题,所以应该要求从服务器断路径提交,其他地址提交无效:


<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black
bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=“font:9pt Verdana“>"
response.write "你提交的路径有误,禁止从站点外部提交数据请不要乱该参数!"
response.write "</td></tr></table></center>"
response.end
end if

推荐日志 木马各种隐藏技术披露

[ 2007-03-25 03:23:09 | 作者: sun ]
虽然没有绝对的安全,但如果能知已知彼,了解木马的隐藏手段,对于木马即使不能百战百胜,也能做到及时发现,使损失最小化。那么,木马究竟是如何躲在我们的系统中的呢?

  最基本的隐藏:不可见窗体+隐藏文件

  木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:   1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。

  2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。

  其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马,于是便出现了下面要介绍的“进程隐藏”技术。

  第一代进程隐藏技术:Windows 98的后门

  在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。

  要对付这种隐藏的木马还算简单,只需使用其他第三方进程管理工具即可找到其所在,并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术,就没有这么简单对付了。

  第二代进程隐藏技术:进程插入

  在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,就好比在未经邻居同意的情况下,你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据,而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。 你知道吗——进程(Process)是什么

  对应用程序来说,进程就像一个大容器。在应用程序被运行后,就相当于将应用程序装进容器里了,你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等),当应用程序被运行两次时,容器里的东西并不会被倒掉,系统会找一个新的进程容器来容纳它。

  一个进程可以包含若干线程(Thread),线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件,另一个则接收用户的按键操作并及时做出反应,互相不干扰),在程序被运行后中,系统首先要做的就是为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程

  1.进程插入是什么

  独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说,系统更容易捕获随意的内存读取和写入操作。对于用户来说,操作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或操作系统的运行。当然,操作系统的这个健壮特性是要付出代价的,因为要编写能够与其他进程进行通信,或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如下文要介绍的盗QQ密码。

  2.木马是如何盗走QQ密码的

  普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了,真是“家贼难防”啊!

  3.如何插入进程

  (1)使用注册表插入DLL

  早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。

  (2)使用挂钩(Hook)插入DLL

  比较高级和隐蔽的方式,通过系统的挂钩机制(即“Hook”,类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”),需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高,程序调试困难,这种木马的制作者必须具有相当的Win32编程水平。

你知道吗——什么是API

  Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface,即“应用程序编程接口”),如一些程序需要对磁盘上的文件进行读写,就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求,然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能,最后将调用结果(如写入文件成功,或读取文件失败等)返回给程序。

  (3)使用远程线程函数(Cr&#101;ateRemoteThread)插入DLL

  在Windows 2000及以上的系统中提供了这个“远程进程”机制,可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显,仅支持Windows 2000及以上系统,在国内仍有相当多用户在使用Windows 98,所以采用这种进程插入方式的木马缺乏平台通用性。

  木马将自身作为DLL插入别的进程空间后,用查看进程的方式就无法找出木马的踪迹了,你能看到的仅仅是一些正常程序的进程,但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看),木马的DLL模块就会现形了。

  不要相信自己的眼睛:恐怖的进程“蒸发”

  严格地来讲,这应该算是第2.5代的进程隐藏技术了,可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中,而可以直接消失!

  它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控,“任务管理器”之所以能够显示出系统中所有的进程,也是因为其调用了EnumProcesses等进程相关的API函数,进程信息都包含在该函数的返回结果中,由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

  而木马由于事先对该API函数进行了Hook,所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色),木马便得到了通知,并且在函数将结果(列出所有进程)返回给程序前,就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目,却有人不知不觉中将电视接上了DVD,你在不知不觉中就被欺骗了。

  所以无论是“任务管理器”还是杀毒软件,想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段,只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除,这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题,所以没有被广泛采用。

  你知道吗——什么是Hook

  Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制,中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后,一旦发生已Hook的事件,对该事件进行Hook的程序(如:木马)就会收到系统的通知,这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

  毫无踪迹:全方位立体隐藏

  利用刚才介绍的Hook隐藏进程的手段,木马可以轻而易举地实现文件的隐藏,只需将Hook技术应用在文件相关的API函数上即可,这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是,现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

  跟杀毒软件对着干:反杀毒软件外壳

  木马再狡猾,可是一旦被杀毒软件定义了特征码,在运行前就被拦截了。要躲过杀毒软件的追杀,很多木马就被加了壳,相当于给木马穿了件衣服,这样杀毒软件就认不出来了,但有部分杀毒软件会尝试对常用壳进行脱壳,然后再查杀(小样,别以为穿上件马夹我就不认识你了)。除了被动的隐藏外,最近还发现了能够主动和杀毒软件对着干的壳,木马在加了这种壳之后,一旦运行,则外壳先得到程序控制权,由其通过各种手段对系统中安装的杀毒软件进行破坏,最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

  你知道吗——什么是壳

  顾名思义,你可以很轻易地猜到,这是一种包在外面的东西。没错,壳能够将文件(比如EXE)包住,然后在文件被运行时,首先由壳获得控制权,然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密,这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”,如果发现某文件中含有这个特征,就认为该文件是木马,而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”,加密后变成了“54321”,这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除,恢复文件没有加壳前的状态。

推荐日志 解决ASP(图像)上传漏洞的方法

[ 2007-03-25 03:22:57 | 作者: sun ]
经常听说的ASP上传漏洞,即是将一些木马文件修改后缀名(修改为图像文件后缀),进行上传。

针对此情况使用下列函数进行辨别:



<%
&#39;******************************************************************
&#39;CheckFileType 函数用来检查文件是否为图片文件
&#39;参数filename是本地文件的路径
&#39;如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false
&#39;******************************************************************

const adTypeBinary=1

dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)
dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)
dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)
dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)

function CheckFileType(filename)
on error resume next
CheckFileType=false
dim fstream,fileExt,stamp,i
fileExt=mid(filename,InStrRev(filename,".")+1)
set fstream=Server.cr&#101;ateobject("ADODB.Stream")
fstream.Open
fstream.Type=adTypeBinary
fstream.LoadFromFile filename
fstream.position=0
sel&#101;ct case fileExt
case "jpg","jpeg"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false
next
case "gif"
stamp=fstream.read(6)
for i=0 to 5
if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false
next
case "png"
stamp=fstream.read(4)
for i=0 to 3
if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false
next
case "bmp"
stamp=fstream.read(2)
for i=0 to 1
if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false
next
end sel&#101;ct
fstream.Close
set fseteam=nothing
if err.number<>0 then CheckFileType=false
end function
%>




那么在应用的时候
CheckFileType(server.mappath("cnbruce.jpg"))
或者
CheckFileType("F:/web/164/images/cnbruce.jpg"))

反正即是检测验证本地物理地址的图像文件类型,返回 true 或 false值

所以这个情况应用在图像上传中,目前的办法是先允许该“伪图像”文件的上传,接着使用以上的自定义函数判断该文件是否符合图像的规范,若是木马伪装的图像文件则FSO删除之,比如:


file.SaveAs Server.mappath(filename) &#39;保存文件
If not CheckFileType(Server.mappath(filename)) then
response.write "错误的图像格式"
Set fso = Cr&#101;ateObject("Scripting.FileSystemObject")
Set ficn = fso.GetFile(Server.mappath(filename))
ficn.del&#101;te
set ficn=nothing
set fso=nothing
response.end
end if



则是先将文件上传,接着立马使用自定义函数判断文件图像类型的吻合性,FSO做出删除该文件的操作。


ASP上传漏洞还利用"\0"对filepath进行手脚操作
http://www.cnbruce.com/blog/showlog.asp?cat_id=32&log_id=635

针对这样的情况可使用如下函数


function TrueStr(fileTrue)
str_len=len(fileTrue)
pos=Instr(fileTrue,chr(0))
if pos=0 o&#114; pos=str_len then
TrueStr=true
else
TrueStr=false
end if
end function



接着就可判断后再做文件的上传


if TrueStr(filename)=false then
response.write "非法文件"
response.end
end if

file.SaveAs Server.mappath(filename)




所以,在Blog中的一文:(ASP)文件系统之化境无组件(v2.0)上传

关于upfile.asp的全新内容如下:

<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <!--#include file="upload.inc"--> <html> <head> <title>文件上传</title> <meta http-equiv="content-type" content="text/html;charset=gb2312"> </head> <body> <% on error resume next dim upload,f_folder,file,formPath,iCount,filename,fileExt,filesizemin,filesizemax &#39;****************************************************************** &#39;CheckFileType 函数用来检查文件是否为图片文件 &#39;参数filename是本地文件的路径 &#39;如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false &#39;****************************************************************** const adTypeBinary=1 dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8) dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D) dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47) dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61) function CheckFileType(filename) CheckFileType=false dim fstream,fileExt,stamp,i fileExt=mid(filename,InStrRev(filename,".")+1) set fstream=Server.cr&#101;ateobject("ADODB.Stream") fstream.Open fstream.Type=adTypeBinary fstream.LoadFromFile filename fstream.position=0 sel&#101;ct case fileExt case "jpg","jpeg" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false next case "gif" stamp=fstream.read(6) for i=0 to 5 if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false next case "png" stamp=fstream.read(4) for i=0 to 3 if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false next case "bmp" stamp=fstream.read(2) for i=0 to 1 if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false next end sel&#101;ct fstream.Close set fseteam=nothing if err.number<>0 then CheckFileType=false end function function TrueStr(fileTrue) str_len=len(fileTrue) pos=Instr(fileTrue,chr(0)) if pos=0 o&#114; pos=str_len then TrueStr=true else TrueStr=false end if end function filesizemin=100 filesizemax=200*1024 set upload=new upload_5xSoft &#39;建立上传对象 f_folder=upload.form("upfilefolder") &#39;********************************列出所有上传文件*************************************************** For each formName in upload.objFile set file=upload.file(formName) If file.filesize>0 then &#39;********************************检测文件大小*************************************************** If file.filesize<filesizemin Then response.write "你上传的文件太小了 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" ElseIf file.filesize>filesizemax then response.write "文件大小超过了 "&filesizemax&"字节 限制 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" End If &#39;********************************检测文件类型**************************************************** fileExt=ucase(right(file.filename,4)) uploadsuc=false Forum_upload="RAR|ZIP|SWF|JPG|PNG|GIF|DOC|TXT|CHM|PDF|ACE|MP3|WMA|WMV|MIDI|AVI|RM|RA|RMVB|MOV|XLS" Forumupload=split(Forum_upload,"|") for i=0 to ubound(Forumupload) if fileEXT="."&trim(Forumupload(i)) then uploadsuc=true exit for else uploadsuc=false end if next if uploadsuc=false then response.write "文件格式不正确 [ <a href=# onclick=history.go(-1)>重新上传</a> ]" response.end end if &#39;********************************建立文件上传的目录文件夹**************************************** Set upf=Server.Cr&#101;ateObject("Scripting.FileSystemObject") If Err<>0 Then Err.Clear response.write("您的服务器不支持FSO") response.end End If f_type= replace(fileExt,".","") f_name= year(now)&"-"&month(now) If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type&"/"&f_name))=False Then If upf.FolderExists(Server.MapPath(f_folder&"/"&f_type))=False Then If upf.FolderExists(Server.MapPath(f_folder))=False Then upf.Cr&#101;ateFolder Server.MapPath(f_folder) upf.Cr&#101;ateFolder Server.MapPath(f_folder&"/"&f_type) upf.Cr&#101;ateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) Else upf.Cr&#101;ateFolder Server.MapPath(f_folder&"/"&f_type) upf.Cr&#101;ateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If Else upf.Cr&#101;ateFolder Server.MapPath(f_folder&"/"&f_type&"/"&f_name) End If End If f_ftn=f_folder&"/"&f_type&"/"&f_name Set upf=Nothing &#39;********************************保存上传文件至文件夹***************************************** randomize ranNum=int(90000*rnd)+10000 filename=f_ftn&"/"&day(now)&"-"&ranNum&"-"&file.filename if TrueStr(filename)=false then response.write "非法文件" response.end end if if file.filesize>filesizemin and file.filesize<filesizemax then file.SaveAs Server.mappath(filename) &#39;保存文件 if f_type="JPG" o&#114; f_type="GIF" o&#114; f_type="PNG" then If not CheckFileType(Server.mappath(filename)) then response.write "错误的图像格式  [ <a href=# onclick=history.go(-1)>重新上传</a> ]" Set fso = Cr&#101;ateObject("Scripting.FileSystemObject") Set ficn = fso.GetFile(Server.mappath(filename)) ficn.del&#101;te set ficn=nothing set fso=nothing response.end end if response.write "<script>parent.cn_bruce.cn_content.value+=&#39;
&quot;&filename&&quot;
&#39;</script>" ElseIf f_type="ZIP" o&#114; f_type="RAR" o&#114; f_type="DOC" o&#114; f_type="TXT" then response.write "<script>parent.cn_bruce.cn_content.value+=&#39;"&filename&"&#39;</script>" &#39;ElseIf else response.write "<script>parent.cn_bruce.cn_content.value+=&#39; "&filename&" &#39;</script>" end if iCount=iCount+1 end if set file=nothing end if next set upload=nothing &#39;删除此对象 response.write (iCount&" 个文件上传成功! <a href=# onclick=history.go(-1)>继续上传</a>") %> </body> </html>

[Ctrl+A 全部选择 提示:你可先修改部分代码,再按运行]

另外,请各位调试是否具有上传漏洞:

http://www.164.cc/2006/upf/

推荐日志 SNMP网络安全性配置指南

[ 2007-03-25 03:22:44 | 作者: sun ]
如何在Windows Server 2003中为“简单网络管理协议”(SNMP)服务配置网络安全性呢?SNMP服务起着代理的作用,它会收集可以向SNMP管理站或控制台报告的信息。您可以使用SNMP服务来收集数据,并且在整个公司网络范围内管理基于 Windows Server 2003、Microsoft Windows XP和Microsoft Windows 2000的计算机。

通常,保护SNMP代理与SNMP管理站之间的通信的方法是:给这些代理和管理站指定一个共享的社区名称。当SNMP管理站向SNMP服务发送查询时,请求方的社区名称就会与代理的社区名称进行比较。如果匹配,则表明SNMP管理站已通过身份验证。如果不匹配,则表明SNMP代理认为该请求是“失败访问” 尝试,并且可能会发送一条SNMP陷阱消息。

SNMP消息是以明文形式发送的。这些明文消息很容易被“Microsoft网络监视器”这样的网络分析程序截取并解码。未经授权的人员可以捕获社区名称,以获取有关网络资源的重要信息。

“IP安全协议”(IP Sec)可用来保护SNMP通信。您可以创建保护TCP和UDP端口161和162上的通信的IP Sec策略,以保护SNMP事务。

创建筛选器列表

要创建保护SNMP消息的IP Sec策略,先要创建筛选器列表。方法是:

单击开始,指向管理工具,然后单击本地安全策略。

展开安全设置,右键单击“本地计算机上的IP安全策略”,然后单击“管理IP筛选器列表和筛选器操作”。

单击“管理IP筛选器列表”选项卡,然后单击添加。

在IP筛选器列表对话框中,键入SNMP消息(161/162)(在名称框中),然后键入TCP和UDP端口161筛选器(在说明框中)。

单击使用“添加向导”复选框,将其清除,然后单击添加。

在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。

单击协议选项卡。在“选择协议类型”框中,选择UDP。在“设置IP协议端口”框中,选择“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。

单击确定。

在IP筛选器列表对话框中,选择添加。

在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。

单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入161。单击“到此端口”,然后在框中键入161。

单击确定。

在IP筛选器列表对话框中,单击添加。

在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像,匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。

单击协议选项卡。在“选择协议类型”框中,单击UDP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。

单击确定,在IP筛选器列表对话框中,单击添加。

在“源地址”框(位于显示的IP筛选器属性对话框的地址选项卡上)中,单击“任意IP地址”。在“目标地址”框中,单击我的IP地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框,将其选中。

单击协议选项卡。在“选择协议类型框中,单击TCP。在“设置IP协议”框中,单击“从此端口”,然后在框中键入162。单击“到此端口”,然后在框中键入162。

单击确定 在IP筛选器列表对话框中单击确定,然后单击“管理IP筛选器列表和筛选器操作”对话框中的确定。

创建IPSec策略

要创建IPSec策略来对SNMP通信强制实施IPSec,请按以下步骤操作:

右键单击左窗格中“本地计算机上的IP安全策略”,然后单击创建IP安全策略。

“IP安全策略向导”启动。

单击下一步。

在“IP安全策略名称”页上的名称框中键入Secure SNMP。在说明框中,键入Force IPSec for SNMP Communications,然后单击下一步。

单击“激活默认响应规则”复选框,将其清除,然后单击下一步。

在“正在完成IP安全策略向导”页上,确认“编辑属性”复选框已被选中,然后单击完成。

在安全“NMP属性”对话框中,单击使用“添加向导”复选框,将其清除,然后单击添加。

单击IP“筛选器列表”选项卡,然后单击SNMP消息(161/162)。

单击筛选器操作选项卡,然后单击需要安全。

单击身份验证方法选项卡。默认的身份验证方法为Kerberos。如果您需要另一种身份验证方法,则请单击添加。在新身份验证方法属性对话框中,从下面的列表中选择要使用的身份验证方法,然后单击确定:

ActiveDirectory默认值(KerberosV5协议)

使用此字符串(预共享密钥)

在新规则属性对话框中,单击应用,然后单击确定。

在SNMP“属性”对话框中,确认SNMP“消息(161/162)”复选框已被选中,然后单击确定。

在“本地安全设置”控制台的右窗格中,右键单击安全SNMP规则,然后单击指定。

在所有运行SNMP服务的基于Windows的计算机上完成此过程。SNMP管理站上也必须配置此IPSec策略。

推荐日志 安全杂谈之个人电脑防黑的安全准则

[ 2007-03-25 03:22:34 | 作者: sun ]

在这个网络时代,每个人都可以轻易地从网络上得到各种简单易用的黑客工具,于是,众多“黑客”就诞生了。这些人多半是一些无所事事的网虫,天生就有破坏的欲望。于是无聊+表现欲促使他们拿着从网上找来的各种“炸弹”之类的东西开始在浩大的网络中寻找可以炫耀一下自己本事的猎物。当你在网络上冲浪,或是正在同别人聊天时,机器突然死机了或是蓝屏了,网页不能浏览了,QQ登录不上去了,这时你就该想想自己是不是中毒了,或是被黑了。那么为防止我们的个人电脑被黑客攻击,我们使用电脑时该遵循些什么样的安全准则呢?

密码安全准则

不要使用简单的密码。不要简单地用生日、单词或电话号码作为密码,密码的长度至少要8个字符以上,包含数字、大、小写字母和键盘上的其他字符混合。对于不同的网站和程序,要使用不同口令,以防止被黑客破译。要记录好你的ID和密码以免忘记,但不要将记录存放在上网的电脑里。不要为了下次登录方便而保存密码;还有,要经常更改密码和不要向任何人透露您的密码。

电子邮件安全准则

不要轻易打开电子邮件中的附件,更不要轻易运行邮件附件中的程序,除非你知道信息的来源。要时刻保持警惕性,不要轻易相信熟人发来的E-mail就一定没有黑客程序,如Happy99就会自动加在E-mail附件当中。不要在网络上随意公布或者留下您的电子邮件地址,去转信站申请一个转信信箱,因为只有它是不怕炸的。在E-mail客户端软件中限制邮件大小和过滤垃圾邮件;使用远程登录的方式来预览邮件;最好申请数字签名;对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后方可使用。

IE的安全准则

对于使用公共机器上网的网民,一定要注意IE的安全性。因为IE的自动完成功能在给用户填写表单和输入Web地址带来一定便利的同时,也给用户带来了潜在的泄密危险,最好禁用IE的自动完成功能。IE的历史记录中保存了用户已经访问过的所有页面的链接,在离开之前一定要清除历史记录;另外IE的临时文件夹(\Windows\Temporary Internet Files)内保存了用户已经浏览过的网页,通过IE的脱机浏览特性或者是其他第三方的离线浏览软件,其他用户能够轻松地翻阅你浏览的内容,所以离开之前也需删除该路径下的文件。还要使用具有对Cookie程序控制权的安全程序,因为Cookie程序会把信息传送回网站,当然安装个人防火墙也可对Cookie的使用进行禁止、提示或启用。

聊天软件的安全准则

在使用聊天软件的时候,最好设置为隐藏用户,以免别有用心者使用一些专用软件查看到你的IP地址,然后采用一些针对IP 地址的黑客工具对你进行攻击。在聊天室的时候,还要预防Java炸弹,攻击者通常发送一些带恶意代码的HTML语句使你的电脑打开无数个窗口或显示巨型图片,最终导致死机。你只需禁止Java脚本的运行和显示图像功能就可以避免遭到攻击了,但这时你就没法访问一些交互式网页了,这需要你个人权衡。

防止特洛伊木马安全准则

不要太容易信任别人,不要轻易安装和运行从那些不知名的网站(特别是不可靠的FTP站点)下载的软件和来历不明的软件。有些程序可能是木马程序,如果你一旦安装了这些程序,它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样,黑客就可以很容易进入你的电脑。笔者并不是让大家不信任来自Internet的任何东西,因为即使是很大的网站,都有可能遭到黑客的破坏。对于此类软件,即使通过了一般反病毒软件的检查也不要轻易运行,要用如Cleaner等专门的黑客程序清除软件检查,并且需要提醒大家注意的是这些软件的病毒库文件要经常更新。同时不要让他人随意在您的计算机上安装软件。另外如果是购买二手电脑,不要购买或者使用那些曾经受过入侵,但仍未清理过硬盘的二手电脑。因为这样很可能为黑客提供了入侵你的电脑的机会,最好是重新格式化硬盘,并重装操作系统。


定期升级你的系统

很多常用的程序和操作系统的内核都会发现漏洞,某些漏洞会让入侵者很容易进入到你的系统,这些漏洞会以很快的速度在黑客中传开。如近期流传极广的尼姆达病毒就是针对微软信件浏览器的弱点和Windows NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒。因此,用户一定要小心防范。软件的开发商会把补丁公布,以便用户补救这些漏洞。建议用户订阅关于这些漏洞的邮件列表,以便及时知道这些漏洞后打上补丁,以防黑客攻击。当然最好使用最新版本的浏览器软件、电子邮件软件以及其他程序,但不要是测试版本。

安装防火墙

不要在没有防火墙的情况下上网冲浪。如果你使用的是宽带连接,例如ADSL或者光纤,那么你就会在任何时候都连上Internet,这样,你就很有可能成为那些闹着玩的黑客的目标。最好在不需要的时候断开连接,如可以在你的电脑上装上防黑客的防火墙——一种反入侵的程序作为你的电脑的门卫,以监视数据流动或是断开网络连接。如Lockdown2000 、ZoneAlarm、天网或者其他的一些个人防火墙软件。另外如瑞星、江民、金山公司的最新版杀毒软件都附有防火墙,可以起到杀毒、防黑的双重功效,值得信赖。

禁止文件共享

局域网里的用户喜欢将自己的电脑设置为文件共享,以方便相互之间资源共享,但是如果你设了共享的话,就为那些黑客留了后门,这样他们就有机可乘进入你的电脑偷看你的文件,甚至搞些小破坏。建议在非设共享不可的情况下,最好为共享文件夹设置一个密码,否则公众以及你的对手将可以自由地访问你的那些共享文件。

如果你在上网时遵守了以上这些准则的话,就可以在一定程度上保证个人电脑的安全,避免黑客的攻击。

推荐日志 熊猫烧香病毒超强分析(手工查杀方法)

[ 2007-03-25 03:22:23 | 作者: sun ]
本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。

在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:
  1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。
  2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复!
  3.找回被熊猫烧香病毒删除的ghost(.gho)文件,请使用EasyRecovery Pro。.gho文件所在分区进行的写操作越少,找回来的几率越大。
  4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。
熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”
  这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。
  最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。
  其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
  病毒描述:
  “武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。




被感染的程序(实际图)
  以下是熊猫烧香病毒详细行为和解决办法:
  熊猫烧香病毒详细行为:
  1.复制自身到系统目录下:
  %System%\drivers\spoclsv.exe(“%System%”代表Windows所在目录,比如:C:\Windows)
  不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:\Windows\System32\Drivers\spoclsv.exe。
  2.创建启动项:
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "svcshare"="%System%\drivers\spoclsv.exe"
  3.在各分区根目录生成病毒副本:
  X:\setup.exe
  X:\autorun.inf
  autorun.inf内容:
  [AutoRun]
  OPEN=setup.exe
  shellexecute=setup.exe
  shell\Auto\command=setup.exe
  4.使用net share命令关闭管理共享:
  cmd.exe /c net share X$ /del /y
  cmd.exe /c net share admin$ /del /y
  5.修改“显示所有文件和文件夹”设置:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion
  \Explorer\Advanced\Folder\Hidden\SHOWALL]
  "CheckedValue"=dword:00000000
  6.熊猫烧香病毒尝试关闭安全软件相关窗口:
  天网
  防火墙
  进程
  VirusScan
  NOD32
  网镖
  杀毒
  毒霸
  瑞星
  江民
  黄山IE
  超级兔子
  优化大师
  木马清道夫
  木馬清道夫
  QQ病毒
  注册表编辑器
  系统配置实用程序
  卡巴斯基反病毒
  Symantec AntiVirus
  Duba
  Windows任务管理器
  esteem procs
  绿鹰PC
  密码防盗
  噬菌体
  木马辅助查找器
  System Safety Monitor
  Wrapped gift Killer
  Winsock Expert
  游戏木马检测大师
  超级巡警
  msctls_statusbar32
  pjf(ustc)
  IceSword
  7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:
  Mcshield.exe
  VsTskMgr.exe
  naPrdMgr.exe
  Up&#100;aterUI.exe
  TBMon.exe
  scan32.exe
  “%System%\system32\spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
  查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
  2. 删除病毒文件:
  %System%\drivers\spoclsv.exe
  请注意区分病毒和系统文件。详见步骤1。
  3. 删除病毒启动项:
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "svcshare"="%System%\drivers\spoclsv.exe"
  4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
  X:\setup.exe
  X:\autorun.inf
  5. 恢复被修改的“显示所有文件和文件夹”设置:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
  \Explorer\Advanced\Folder\Hidden\SHOWALL]
  "CheckedValue"=dword:00000001
  6. 修复或重新安装被破坏的安全软件。
  7.修复被感染的程序,可用专杀工具进行修复。
  金山熊猫烧香病毒专杀工具
  安天熊猫烧香病毒专杀工具
  江民熊猫烧香病毒专杀工具
  瑞星熊猫烧香病毒专杀工具
  8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
以下是数据安全实验室提供的信息与方法。
  病毒描述:
  含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
  病毒基本情况:
  [文件信息]
  病毒名: Virus.Win32.EvilPanda.a.ex$
  大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
  SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
  壳信息: 未知
  危害级别:高
  病毒名: Flooder.Win32.FloodBots.a.ex$
  大 小: 0xE800 (59392), (disk) 0xE800 (59392)
  SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
  壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
  危害级别:高
  病毒行为:
  Virus.Win32.EvilPanda.a.ex$ :
  1、病毒体执行后,将自身拷贝到系统目录:
  %SystemRoot%\system32\FuckJacks.exe
  
  2、添加注册表启动项目确保自身在系统重启动后被加载:
  键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  键名:FuckJacks
  键值:"C:Windows\system32\FuckJacks.exe"
  键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  键名:svohost
  键值:"C:Windows\system32\FuckJacks.exe"
  3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
  C:autorun.inf 1KB RHS
  C:setup.exe 230KB RHS
  4、关闭众多杀毒软件和安全工具。
  5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
  6、刷新bbs.qq.com,某QQ秀链接。
  7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
  Flooder.Win32.FloodBots.a.ex$ :
  1、病毒体执行后,将自身拷贝到系统目录:
  %SystemRoot%\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
  %SystemRoot%\system32\SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
  2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
  键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  键名:Userinit
  键值:"C:Windows\system32\SVCH0ST.exe"
  3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
  配置文件如下:
  www。victim.net:3389
  www。victim.net:80
  www。victim.com:80
  www。victim.net:80
  1
  1
  120
  50000 
  解决方案:
  1. 断开网络
  2. 结束病毒进程:%System%\FuckJacks.exe
  3. 删除病毒文件:%System%\FuckJacks.exe
  4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
  X:\autorun.inf
  X:\setup.exe
  5. 删除病毒创建的启动项:
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "FuckJacks"="%System%\FuckJacks.exe"
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "svohost"="%System%\FuckJacks.exe"
  6. 修复或重新安装反病毒软件
  7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。
  手动恢复中毒文件(在虚拟机上通过测试,供参考)
  1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
  2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-Windoes设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口
  3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
  4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
  5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!