大家要提高警惕啊!--一起发生在本论坛的网页木马贴分析!
相信有很多人都看见附图中的帖子了,从点击数看,也有不少人点击了,相信去看过那人所发的网址的人也不少。从表面看,这只是某个无聊的家伙所发的黄色网页,可实际真的如此吗?事实上,在你访问那个所谓的交友网站的同时,你已经中了木马!该网页打开后,会自动执行某个asp文件,而此文件事实上是个含有执行代码的木马!它执行后,会自动关闭正在运行的杀毒软件(如瑞星、木马克星等等),同时,将自己注册为windows的服务加入注册表中!该木马生成的执行文件为intrenat.exe(注意和windows中的internat.exe相区分),同时,修改wininit.ini文件内容为“NUL=c:windowsintrenat.exe”(由于该文件已经被我删除,可能具体内容有所出入),这样,在下次系统启动时确保intrenat.exe文件能够执行,达到发帖者不可告人的目的!值得注意的是,该木马不能被瑞星所识别,同时新版的木马克星也只会提示“是否关闭木马克星”以及“wininit文件被修改”而不会报警(旧版的木马克星将会被直接关闭),只有诺顿提示发现“BAT.Trojan”病毒并自动将受感染的文件隔离。
众所周知,传奇的盗号现象是很严重的,在大家痛骂盛大的同时,是否想到可能也有自己的责任?这里,我想提醒大家几点:
1、对来历不明的网址千万不要随便去点(要点也要在网吧或者单位的机子上点^_^)!我曾经在新浪论坛上因为要神迹的内测帐号而发了邮件地址,结果接下来的几天内就连着有人给我发含有木马的网页地址!还好我的金山毒霸是正版,而且保持随时更新……
2、不要过分的相信杀毒软件。杀毒软件总有滞后性,而且,就算再好的杀毒软件也不可能做到100%的查杀。也不要迷信防火墙,对大多数个人防火墙而言,只能起到挡住外来攻击和提示性的作用,而有句话说的好,堡垒往往是从内部攻破的,对你允许与网络连接的程序,防火墙可是会视而不见的哦!
3、对用外挂,特别是一些免费外挂的兄弟,我只能说你多多保重了!很多所谓的“免费”、“破解”外挂都有木马!凡事还是慎重点好啊!
今天之所以想起来写这么多,一是因为加班无聊,二是玩了这么久,我发现很多朋友的安全意识的确够差,这不,提醒别人注意的花狼兄不就自己中招了嘛!我曾经在一个论坛里就外挂的问题和人争论过,居然有很多人认为“键盘监视”程序没什么问题?天,你在键盘上的所有输入都被记录了,你认为你还有什么秘密可言??为什么现在越来越多的游戏开始采用帐号和密码软键盘输入?就是考虑到这个“键盘监视”!(事实上,软键盘并非无懈可击,采用画面捕捉识别一样可以知道你输入了什么,这也是为什么传世的软键盘每次出现的位置都不一样的原因,说白了就是避免因固定位置的输入而导致你的信息被捕捉识别。具体的技术问题这里就不再讨论啦!)还有就是挂机外挂,在你输入帐号和密码的同时,你有没有想过,万一有人在外挂里捆绑了其他东西,在你发送的同时将你的帐号和密码发到它的邮箱里怎么办?不要以为这是什么复杂的技术,你在google里输入类似“文件捆绑机”这样的东东随随便便都能查到一大把!
最后,希望大家都能提高警惕,千万不要因为一时的好奇或者冲动,使自己辛辛苦苦练的ID毁于一旦啊!
|