SütunDadong lehçesi güvenliği tüm Virut'u alır
Editörün notu: Siber uzay güvenliği son yıllarda kamuoyunun ilgi odağı haline geldi. Çin Bilimler Akademisinin Sesi, endüstri uzmanı "Dadong"u "Dadong Diyalog Güvenliği" sütununu açması için özel olarak davet etti ve "Antian Threat Wanted Order 2016 Poker"i aldı. "Bir ipucu olarak, bir A oyun kartı bir ağ virüsüne karşılık gelir, 54 farklı ağ virüsü ve ağ güvenliği hikayesi anlatır ve hedefli savunmaların nasıl yapılacağına dair öneriler sunar.
Bir, kehanet
"Tarihsel Kayıtlar: Xiang Yu'nun Chronicle": Xiang Wang'ın ordusu duvarın altındaydı ve askerler az ve bitkindi ve Han ordusu ve lordlar birkaç ağır askerle çevriliydi. Geceleri, Han ordusunun her taraftan Chu'dan şarkı söylediğini duydum.
Xiang Yu: Han Hanedanlığı Chu'ya ulaştı mı? Chu'da o kadar çok insan var ki!
Xiaobai: Kitaplarımı tüm zehirler mi kaptı? Kaç tane virüs var!
Dadong: Çabuk Laoji kullan, hehehe~
2. Virüs Aranıyor
Xiaobai: Parıltı pırıltı pırıltı pırıltı~ Gökyüzü küçük gözlerle dolu~~
Dadong: Arkadaşın Innocent Bai çevrimiçi.
Xiaobai: Da Dongdong, bugün uzun gözlü virüsün olduğu kart nedir?
Dadong: Bu, güvenliği ihlal edilmiş sistemlerde .exe ve .scr dosyalarına bulaşma yeteneğine sahip, dosyaya bulaşan bir virüs ailesi olan Virut'tur. Ayrıca, bir IRC sunucusuna bağlanarak bir arka kapı açarak, uzaktaki bir saldırganın virüslü bir bilgisayardaki dosyaları indirip çalıştırmasına izin verebilir.
Xiaobai: Halo, anlıyormuş gibi yaptım~
Dadong: Hehe, merak etme, sana söyleyeceğim şeyi dinle~
3. Hepsi Bir Arada Virut
Xiaobai: Büyük şeyler~ Gel ve bilgisayarımı kurtar~~
Dadong: Ne oldu?
Xiaobai: Harika şeyler, bilgisayarımda hangi virüsün olduğunu bilmiyorum. Onu her kaldırdığımda 1000'den fazla virüs olduğunu ve hatta sistem dosyalarına bile virüs bulaştığını gösteriyor! Kontrol etmek ve öldürmek için anti-virüs yazılımının en son sürümünü kullandım, ancak öldürüp yeniden başlattıktan sonra sisteme giremiyorum! !
Dadong: Ah? Antivirüs sonuçları ne olacak?
Xiaobai: Rising, virüsün adının Win32.Virut olduğunu öğrendi. Sistemi yeniden yüklemeyi denedim ama virüs hala orada! Bu çok iç karartıcı...
Dadong: Bilgisayarınıza gerçekten de Virut virüsü bulaşmış.
Xiaobai: Bu şey nedir, bilgisayarımı tamamen bozdu!
Dadong: Virut virüsü, Microsoft Windows'u etkileyen dosyaya bulaşan bir Truva atı virüsüdür.İlk olarak 2006 yılında Polonya'da keşfedilmiştir. Bu virüs türünün çok büyük bir etkisi var.Tencent Anti-Virus Lab'e göre, bu kategorideki yalnızca bir tür Ramnit virüsü için, bilgisayar görevlileri tarafından ele geçirilen makine sayısı günde 30.000 kadar yüksek.
Xiaobai: Günün sonu! Bir günde o kadar çok kurban var ki! !
Birçok virüslü dosya
Dadong: Bu Virut'un birçok çeşidi vardır. Etkilenen ana bilgisayar, tüm diskteki yürütülebilir dosyaların, özellikle exe, scr ve HTML belgelerinin çoğunun kötü niyetli olarak değiştirileceği, kötü amaçlı kod ekleneceği ve herhangi bir yazılım uygulamasının büyük olasılıkla kötü niyetli olacağı anlamına gelir. Çalıştırmak için Virut'u tetikleyin.
Xiaobai: Hepsi bir arada! Ne yapacak?
Dadong: Yürütülebilir dosyaların bulaşması, temel olarak yürütülebilir kod eklemek ve kötü amaçlı kod sürecine atlama amacına ulaşmak için anahtar atlama konumundaki EP değerini değiştirmektir.
Xiaobai: EP değeri nedir?
Dadong: EP, uygulama yürütüldüğünde ilk çalıştırılan kodun başlangıç konumu olan Windows yürütülebilir dosyasının kod giriş noktası olan EnterPoint'tir. Aşağıdaki iki şekil, yürütülebilir bir dosyaya virüs bulaşmadan önceki ve sonraki EP değerindeki değişiklikleri gösterir.
Bir yürütülebilir dosyaya bulaşmadan önceki EP
Yürütülebilir dosya bulaştıktan sonra EP
Xiaobai: Ah...
Dadong: Zehirli bilgisayardaki tüm HTML belgelerini arayın, istediğiniz zaman bunlardan birini açın ve belgenin sonuna bir CC site adresinin eklendiğini görebilirsiniz.
Virüs bulaşmış HTML belgeleri
Xiaobai: CC?
Dadong: Komuta ve Kontrol. CC sunucusu, virüs Truva atlarında yaygın olan komutlar aracılığıyla kurbanın makinesini kontrol edebilir.
Xiaobai: Ah! Tıpkı "Tom ve Jerry"deki farenin kediyi yanlış yöne çevirmek için çataldaki işareti çevirmesi gibi, virüs yol işaretini değiştirdi ve kurbanı pusuya düşürdü~
diğer işlemlere enjekte etmek
Dadong: Evet, çok iyi anlıyorum! Virut virüsü, sistem işlemleri veya diğer uygulama işlemleri olabilen, çalıştırılacak diğer işlemlere kötü amaçlı kod da enjekte edebilir.En çok enjekte edilen işlem winlogon.exe sistem işlemidir.
Xiaobai: winlogon.exe'nin kaynağı nedir?
Dadong: winlogon.exe, kullanıcı oturum açma ve oturum kapatma işlemlerini yöneten bir Windows oturum açma uygulama sürecidir.Sistem başladığında başlar ve çalışır.
Aşağıdaki resim, winlogon.exe işlem modülüne kendi modül kodunu enjekte eden bir Virut çeşidini göstermektedir.
Etkilenen winlogon.exe
Bu iki enjekte edilen dll'yi Notepad++ ile açarsanız, HTML belgesindeki enfeksiyon değeriyle tutarlı olan bulacaksınız.
Virut tarafından enjekte edilen dll modülünü açın
bilgi çalmaya yönelik
Xiaobai: Tanrım! Virut bunu bilerek mi yapıyor?
Dadong: Virut'un amacı, önemli kullanıcı bilgilerini çalmak için kurbanın ana bilgisayarını uzun süre kullanmak, kullanıcılara yazılım yükleme ücretleri kazanmak için gereksiz hileli veya kötü amaçlı yazılımları indirmek ve yüklemek ve ayrıca bir DDoS terminali olarak da kullanılabilir, spam gönderiyor veya kimlik avı e-postaları, dolandırıcılık ve diğer yasa dışı eylemlerde bulunmak için bir sıçrama tahtası haline gelir. Bildiğim kadarıyla bazı şirketlerin yerel alan ağında Virut var ve her şey iyi değil.Ne Kaspersky Virut Killer, Fair Virut Killer, VirutKiller, virüsü öldürmek gerçekten etkili, ancak bir hafta sonra Virut Yeniden Dirildi . Virüsü temizleyin, dikkatli kullanın!
Xiaobai: Ah! Bilgisayarımı kurtarmanın bir yolu var mı?
Dadong: Endişelenme, hala yollar var. Sisteme virüs bulaştığı tespit edildiğinde, sabit diskin herhangi bir bölümünün kök dizinine erişmeyin veya sabit diskte herhangi bir program çalıştırmayın, aksi takdirde yeniden virüs bulaşma olasılığı çok yüksektir.
Xiaobai: Virüsü temizleyebilir misin?
Dadong: Virut'un birçok çeşidi var ve bilgisayar korsanları zamana ayak uydurarak virüsün yeteneklerini sürekli olarak güçlendiriyor ve mükemmelleştiriyor. Virut'un hala öldürme araçlarından kaçmak için bilinmeyen bazı özel becerileri olup olmadığı bilinmiyor. Virüsü tamamen kaldırmak istiyorsanız, önemli belge dosyalarını kopyalamak en güvenlisidir.Tabii ki tüm HTML dosyaları ve ikili dosyalar kararlı bir şekilde atılır ve ardından sistem yeniden kurulur.Bu yöntem en güvenli olanıdır.
Xiaobai: Da Dongdong'un dediğini yap!
Dördüncüsü, Marvel hakkında konuşun
Dadong: A.I.M.'yi duydun mu, Xiaobai?
Xiaobai: Ha? ?
Dadong: Tam adı, Çince'de Pioneer Technology'ye çevrilen Advanced Idea Mechanics'tir.
Xiaobai: Pekala, çok gerçekçi bir Çince isim~
Dadong: Pioneer Technology, Hydra organizasyonu Hydra için yıkıcı askeri teknoloji geliştiriyor. 1960'ların sonlarında, A.I.M. Hydra grubuyla yollarını ayırdı.
NİŞAN ALMAK.
Xiaobai: Sözde uzun vadeli ayrılık birlikte olmalı ve uzun vadeli ayrılık ayrılmalı~
Dadong: Murdoch (M.O.D.O.K.) döneminde, A.I.M. daha çok İntikamcılarla savaşmaya odaklandı ve .exe ve .scr'yi ele geçirilmiş sistem dosyasına bulaştırabilen, uzaktan saldırı gerçekleştirmek için arka kapıyı açabilen, dosyaya bulaşan bir virüs ailesi olan Virut'u geliştirdi.
Xiaobai: Çok kötü! Zavallı küçük kırık kitabım~~
