荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: pleasant (哈哈~~~~~~~~~), 信区: Virus
标 题: 病毒防治三例
发信站: BBS 荔园晨风站 (Sat Apr 21 20:25:27 2001), 转信
BO黑洞
现在有很多病毒都是通过E-mail传播的,还有一些恶意邮件要提醒用户注意,这类
信件往往是不怀好意的,经常夹带一些具有恶意的附件程序。
Back Orifice(简称BO)就是这样一类程序。它是一个基于Windows的远端控制软
件。它的工作原理是:首先把服务(Server)程序给欲攻击方,并且执行它。攻击
者自己就运行客户(Client)程序来控制欲攻击方。当用户运行了Boserve.exe之
后,Windows的注册表会被BO修改,并把自己复制到System目录下面,再把原来的
Boserve.exe文件删除掉。以后每次启动Windows时,它都会根据注册表自动加载
System目录下面的Boserve.exe服务程序。此时表面上来看Windows没有任何的变化
,而实际上Boserve.exe服务程序正在悄悄地运行,接受从网络客户端传来的控制
命令。
BO软件是一个名叫Cut of the Dead Cow的黑客组织开发的。此软件包总共有8个文
件,其中Boclient文件总共有11组命令。这些操作包括搜索服务端IP地址,进入欲
攻击方计算机,DIR、CD、RD、MD操作,拷贝、删除文件、从客户端发送文件到服
务端和从服务端得到所需要的文件,还有显示被控制计算机的系统信息(包括CPU
的类型、内存数量、各个驱动器的资料)及重启计算机等操作。
堵住BO黑洞的办法:可以利用江民公司KV300+(X++)原盘启动机器,执行KV300,即
可查出或删掉潜藏在系统中的网络黑客程序BO。用户也可用KV300自我升级的方式
扩充代码,即可查出机器中的BO黑客程序。
不打开附件就安全了吗?
近来互连网上频繁出现的各种电子邮件病毒,使人们对自己信箱中的附件既向往,
又不敢随便亲近。于是就有好心的网友总结出一条经验:不要随意打开陌生邮件的
附件,即使是朋友的邮件,在打开附件之前也要进行一项确认仪式:打电话问问他
们是否真的给你发了信。但是面对每月第一个下午发作的Kak病毒,这些最保守的
经验也只会被打得落花流水。
Kak病毒一种伴随HTML文件出现的病毒,全名“Wscript/Kak”,又称为“野蛮小子
”、“泡沫小子第二”。其感染性与BubbleBoy(泡沫小子)病毒相同,利用微软
程序中ActiveX控件scriptlet.typelib中存在的缺陷编写,通过IE 5浏览器将病毒
代码写到Windows的开始目录中,并在System目录中创建一个自己的拷贝,然后就
能够附在每个Outlook发出的电子邮件中向其他机器传播。凡是安装了IE5或Office
2000的电脑都有可能被感染。
美国在线电脑零售商Shoppingplanet.com 就曾经一不小心,把带有KAK电脑病毒的
产品广告电子邮件发给了5万多客户。值得庆幸的是眼下KAK病毒本身并无恶意,不
会删除电脑中的文件。只是显示这样一行文字:Kagou-Anti-Kro$oft says not
today! 然后它就会试图关闭Windows。如果用户的安全等级设定较高,也有可能看
到这样的警告:你希望ActiveX控件插件运行吗?这时,应当回答:“否”。
幸好“爱虫”病毒没有利用Kak的特性,否则的话,后果真是不堪设想。所以,面
对邮件蠕虫病毒,光是不打开附件是远远不够的。由于“野蛮蠕虫”病毒传播速度
快,感染方式特殊,因此,最好选用具备实时监控的反病毒软件,如KV300才能达到预防目
的。当然,一种杀病毒软件只能截取它所知道的病毒,如果你至少
一星期没有升级你的杀毒软件了,就要小心Kak病毒的入侵哦!
如何"自治"CIH
陈盈豪真是个天才,他编制的一个不足2K的小程序居然可以令几十万的电脑用户叫
苦不迭,以至于偌大个中国,竟然在每个月的26日之前都要播出警告提示,以防用
户的电脑受到CIH的骚扰。可是它有一个“漏洞”,那就是它无法令主板BIOS芯片
中那块ROM内容也同时更改,而只是往EEPRAM中增加了1个字节,从而令BIOS损坏的
。所以,我们完全可以通过自己的双手,来摆平这个CIH。下面,笔者就介绍给大
家一种方法。 (本例使用的是AWARDBIOS芯片)
正如上面提到的,主板BIOS中最重要的BLOCK模块并没有受到CIH的攻击,而这一模
块本身就具有开机的功能,因此我们就可以通过编辑可执行文件,达到恢复BIOS的
目的了。
1)制做一张DOS系统盘,将该损坏主板型号的BIOS文件和驱动刷新BIOS的文件(一
般都由AWARD提供,多数名称就是AWARD.EXE)拷贝到该软盘上。
2)在根目录下编辑一个AUTOEXEC.BAT文件。在这个文件中,写下如下几行命令:
@echo off a:\AWARD.exe X.bin ;X为该损坏主板的BIOS文件名
3)将电脑开机,插入该系统盘到软驱中,只要你的软驱不是损坏的,那么一般都
能够完成主板的BIOS修复工作。
这种方法,其实是利用了主板上CMOS芯片中除BIOS程序以外的BLOCK模块的功能。
根据IBM在1980年推出PC时制定的规则,电脑的主板在由BLOCK模块引导开机时,必
须由ISA显卡驱动才能显示出图像。而且,BLOCK作为一个固定模块,存储在ROM中
。由于CIH只能破坏EPRAM,因此对BLOCK无能为力,当然也就可以令我们轻松搞定
恢复BIOS了。
--
※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.34.202]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店