法国国家网络安全机构 ANSSI 的专家近日发现了一种新型 Ryuk 勒索软件变种,该变种增加了蠕虫的功能,可以在本地网络中传播。
根据 ANSSI 发布的研究报告显示:“除常见的功能外,新版本的 Ryuk 勒索软件增加了在本地网络上蠕虫式传播的功能”,“通过计划任务、恶意软件在 Windows 域内的机器间传播。一旦启动,该恶意软件将在 Windows RPC 可达的每台计算机上传播”。
Ryuk 勒索软件的变种不包含任何阻止勒索软件执行的机制(类似使用互斥量检测),使用 rep.exe 或 lan.exe 后缀进行复制传播。
Ryuk 勒索软件在本地网络上列举所有可能的 IP 地址并发送 ICMP ping 进行探测。该恶意软件会列出本地 ARP 表缓存的 IP 地址,列出发现 IP 地址所有的共享资源并对内容进行加密。该变种还能够远程创建计划任务以此在主机上执行。攻击者使用 Windows 原生工具 schtasks.exe 创建计划任务。
最近发现的 Ryuk 变种具备自我复制能力,可以将可执行文件复制到已发现的网络共享上实现样本传播。紧接着会在远程主机上创建计划任务,最后为了防止用户进行文件回复还会删除卷影副本。
勒索软件 Ryuk 会通过设置注册表项 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost及其文件路径来实现持久化。
分析报告显示,Ryuk 勒索软件并不会检查计算机是否已被感染,恶意代码使用域内的高级帐户进行传播。安全专家指出,即使修改了用户密码,只要 Kerberos 票据尚未过期,蠕虫式的传播仍将继续。
解决问题方法是禁用用户账户,然后进行两次 KRBTGT 域密码更改。尽管这会在内部网络上带来很多麻烦,而且要伴随着多次重新启动,但这是值得的,可以立刻遏制恶意软件的传播和扩散。
可以查看报告原文获取更多信息。
参考来源:SecurityAffairs
熊猫烧香的原理是什么
熊猫烧香”病毒大致分为三部分:第一部分为工作区:工作区也就是其病毒目的性。 其原理和代码非常简单。 首先是感染文件,这段代码任何初级程序员都可以实现。 原理是对系统磁盘做递归搜索,如果发现文件就将其与病毒绑定,在改变其图标。 如果发现结尾的文件将其删除。 接下来的代码稍有点难度,是将源病毒感染到WEB文件,使网页也成为它传播的介质,这也是它大范围传播的主要因素。 在接下来就是常规病毒工作原理,简单点说就是将自己放入注册表,设为启动项。 或在C以外的磁盘和U盘做auto启动。 然后开启双进程保护功能,以钩子技术对其他进程进行监视,发现游戏之类的进程立刻启动木马功能,将其帐号密码记录并发送到指定信箱。 第二部分为自我保护功能。 这是病毒存活的必须手段。 由于很多用户都没有最新的杀毒软件或者正版软件,还有很多杀毒软件并不知道这病毒是哪个变种。 所以导致了病毒把杀毒软件“干”掉了。 为什么中了毒之后,杀毒软件杀不死呢?那是因为病毒已经与exe文件绑定,杀毒软件无法正确的将病毒与exe分开,所以导致连目标文件一起删除掉了。 由于很多用户都是中毒之后在安装杀毒软件,但为时以晚。 由于病毒已经占据了系统控制权,相当于病毒有了优先权去杀死杀毒软件了。 其工作原理有可能是双进程技术。 双进程技术已经是很老的黑客手段了,也就是说两条进程互相监视。 如果其中一条进程被杀死了,另一条发现它消失了就会重新启动它。 反过来也一样,但是用户无论如何也不可能同时杀死两条进程。 第三部分是最主要的部分,传播部分。 这段代码就是这病毒的厉害所在了,几乎可以传播的途径它都用上了。 Exe捆绑传播,U盘传播,感染asp传播,网站传播,弱口令传播,auto传播 等等。
电脑中毒的表现
电脑中毒的表现与判断1、电脑无法启动电脑感染了引导型病毒后,通常会无法启动,因为病毒破坏了操作系统的引导文件。 最典型的病毒是CIH病毒。 2、电脑经常死机病毒程序打开了较多的程序,或者是病毒自我复制,都会占用大量的CPU资源和内存资源,从而造成机器经常死机。 对于网络病毒,由于病毒为了传播,通过邮件服务和QQ等聊天软件传播,也会造成系统因为资源耗尽而死机。 3、文件无法打开系统中可以执行的文件,突然无法打开。 由于病毒修改了感染了文件,可能会使文件损坏,或者是病毒破坏了可执行文件中操作系统中的关联,都会使文件出现打不开的现象。 4、系统经常提示内存不足现在机器的内存通常是256MB的标准配置,可是在打开很少程序的情况下,系统经常提示内存不足。 部分病毒的开发者,通常是为了让病毒占用大量的系统资源,达到让机器死机的目的。 5、机器空间不足自我复制型的病毒,通常会在病毒激活后,进行自我复制,占用硬盘的大量空间。 6、数据突然丢失硬盘突然有大量数据丢失,这有可能是病毒具有删除文件的破坏性,导致硬盘的数据突然消失。 7、电脑运行速度特别慢在运行某个程序时,系统响应的时候特别长,响应的时间,超出了正常响应时间的5位以上。 8、键盘、鼠标被锁死键盘、鼠标在进行BIOS设置时正常,进入系统后无法使用。 部分病毒,可以锁定键盘、鼠标在系统中的使用。 9、系统每天增加大量来历不明的文件病毒进行变种,或者入侵系统时遗留下的垃圾文件。 10、系统自动加载某些程序系统启动时,病毒可能会修改注册表的键值,自动在后台运行某个程序。 部分病毒,如QQ病毒,还会自动发送消息。 三、判断电脑是否中毒的方法我们在了解了病毒的基础知识和中毒表现后,自然会有一些方法,来判断我们的电脑是否中毒。 1、使用杀毒软件进行磁盘扫描判断病毒的第一步,就是通过杀毒软件进行扫描,查看机器中是否存在病毒。 在扫描前,最好升级一下杀毒软件的病毒库。 2、查看硬盘容量对于自我复制型病毒,查看硬盘容量,可以判断出是否感染了病毒。 特别是系统盘的容量大小,大家在平时,一定要了解自己的系统盘容量是多少。 3、检查系统使用的内存数量正常使用的操作系统,占用的系统资源是一定的。 如果系统感染了病毒,病毒肯定会占用内存资源。 对于Windows 98操作系统,进入操作系统后,在DOS提示符下,运行mem /c/p查看内存的使用情况,特别是640Kb的基本内存使用情况!在Windows 2000或者是Windows XP系统下,在“运行”中输入cmd后,执行mem即可。 4、使用任务管理器查看进程数量在Windows 2000和Windows XP操作系统中,可以利用任务管理器,查看一下是否有非法的进程在运行。 对于一些隐蔽性的病毒,在任务管理器中不显示进程。 5、查看注册表部分病毒的运行,需要通过注册表加载的,如恶意网页病毒都会通过注册表加载,这些病毒,在注册表中的加载位置如下:[HKEY_LOCAL_MacHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce]查看注册表中以上几个键值的情况,看一下有没有异常的程序加载。 要想提高判断的准确性,可以把正常运行的机器的这几个键值记录下来,方便比较!6、查看系统配置文件这类病毒一般在隐藏在、(Win9x/WinME)和启动组中。 在文件中有一个“Shell=”项,而在文件中有“Load=”、“Run=”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。 我们可以运行程序来一项一项查看。 由于Windows 2000操作系统中没有Msconifg这个程序,可以由Windows XP操作系统中复制!7、观察机器的启动和运行速度对于一些隐蔽性高的病毒,我们通过以上方法无法判断时,可以根据机器的启动和运行速度进行判断,在保证硬件系统无故障和软件系统运行正常的情况下,可以基本断定已经感染病毒!
瑞星被病毒关闭??怎么办?
关于瑞星的问题现在很多,一部分是由于病毒造成,一部分是升级过程中运行其它程序干扰了瑞星的升级更新,用下面的方法可以修复监控和杀毒软件打不开的问题方法一:瑞星监控中心打不开或者被禁用什么的,经过分析,出现这种问题多半是用户在安装升级包的过程中,没有关闭其它与瑞星升级无关的程序,使这些程序干扰了瑞星的升级导致在升级文件发生错误引发的监控无法开启等问题。 所以强烈建议用户在安装升级包时关闭所有不必要的程序这样会减少你很多麻烦! 如果你出现这样的问题,最好的解决办法就是:在控制面板--添加/删除程序里找到瑞星杀毒软件,点击“更改/删除”--点击修复,然后一直“下一步”,完成后你再看看,瑞星监控的绿伞是不是已经打开了?方法二:出现您的这种情况,可以分析是否为以下情况所导致:1.可能是安装了其他杀毒软件,造成冲突,建议您只安装一款杀毒软件 2.建议您不要安装 xp变脸王的优化软件,若安装请删除 3.请及时安装 win xp最新补丁集,因为病毒很容易利用系统漏洞进入到您的计算机,进而感染系统文件,严重情况下可以将杀毒软件的监控关掉 4.建议您卸载杀毒软件,清理注册表后重装杀毒软件试试。 方法三:8月初出现了大量针对主流杀毒软件编写的恶性病毒。 它们除了具有常见危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。 瑞星“橙色八月专用提取清除工具” 下载地址:专门针对此类病毒编写,可清除“QQ通行证()”、“传奇终结者()”、“密西木马()”等病毒及其变种。 没有安装瑞星杀毒软件的用户可免费下载使用。 注:建议您重新启动计算机,按住F8键,选择“安全模式”,进入后使用此工具杀毒。 附:病毒列表上的病毒主要针对以下安全软件卡巴斯基Symantec AntiVirus瑞星江民杀毒软件天网防火墙个人版噬菌体木马克星金山毒
发表评论