【3.A.S.T】网络安全爱好者's Archiver

黑客学习

冰绿茶 发表于 2008-7-22 09:42

[讨论]让人恶心的U盘病毒

[讨论]让人恶心的U盘病毒
议题作者:刘的林
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])

现在的U盘病毒传播是越来越猖狂了,原来建立免疫文件夹的方法现在已经失效了.因为只要把名字该下就ok了.
前几天我把U盘格式化为NTFS了,把免疫文件夹的属性设置成了 如图所示:

[img]http://forum.eviloctal.com/images/attachicons/rar.gif[/img][url=http://forum.eviloctal.com/attachment.php?aid=11554]fyplmfo.rar[/url] (68.62 KB)  [img]http://forum.eviloctal.com/images/attachicons/rar.gif[/img][url=http://forum.eviloctal.com/attachment.php?aid=11554]fyplmfo.rar[/url] (68.62 KB)
恶心的样本
下载次数: 99

2008-4-12 19:12
前几天上机房的时候发现又被改名了,我真的晕了..难道病毒用CACLS把权限给该了么?
我看了下权限没变啊.那它怎么该的?不可能绕过Windows磁盘的安全机制直接更改了把.
现在有什么方法可以不让U盘中病毒么?不要指望让机器怎么样,机器有还原系统,但是只还原C盘.
本来打算用System Safety Monitor来看下病毒的运行机制.但是在网吧不方便操作.还请大家想想办法把~我真的是没有办法了~
病毒样本在包里..ωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..
[url=http://wpa.qq.com/msgrd?V=1&Uin=277364744&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子36 精华[url=http://forum.eviloctal.com/digest.php?authorid=125015]0[/url] 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 [url=http://hi.baidu.com/mydelin]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=125015]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=141176&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=141176&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]

[url=http://forum.eviloctal.com/space-uid-161942.html]xiaoxyz[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然

colin 发表于 2008-7-22 09:42

你那个不是简单的u盘病毒了
具体点应该是黑客类的病毒
不过好在这个病毒ms比较老一般的都可以杀了
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=161942]0[/url] 积分1 阅读权限40 在线时间2 小时 注册时间2008-4-16 最后登录2008-5-8 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=161942]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=141370&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=141370&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=鲜花预定&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]爱要怎么说出口[/url]

[url=http://forum.eviloctal.com/space-uid-31034.html]taiwansee[/url] [img]http://forum.eviloctal.com/customavatars/31034.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

小明 发表于 2008-7-22 09:42

楼主:你的图没看到。。。
如下假象:
现机房有N台机子,其中1、2号机器已经中毒。
你是在1号机器上做的权限设置(楼主提到你上机房),
现先假设你后来在2号机器上插入U盘,那么:
在2号机上当用属于Administrators 的用户登录Windows 2000/XP/2003 和关闭UAC机制的Vista系统时,你的NTFS U盘里的文件有没有设置权限都是白忙活的。(Why?)
现再假设你后来又在1号机器上插入U盘,那么:
在1号机上当用属于Administrators 的用户登录Windows 2000/XP/2003 和关闭UAC机制的Vista系统时,你对NTFS U盘里的文件设置权限有可能是白忙活的:
假如病毒已经进入Ring0,那么你怎么设置权限都是白忙活了;
假如病毒只是继承当前用户权限,那么权限设置就能生效。
另:
U盘可以如下操作而防止一打开就中毒:
1、插入U盘
2、等待一小会,观察屏幕,如有任何窗口跳出,都关闭。如果没有窗口跳出,继续下一步
3、按Windows徽标键+E
4、在左边的树形窗口上找到你的U盘,比如是K盘,然后单击它
5、这时,在右边的区域就能显示你的U盘内容了。。。
注意:做完第三步,右边的区域就能看到U盘的图标了,但是千万不用左键或者右键打开它。

沙王 发表于 2008-7-22 09:42

只要只要你上的那台机子是以administrator权限或以上的权限运行.怎么改都没用.实验一下.你把权限改得更加bt一点.然后用icesword修改看看.照样能改.因为icesword在ring0下运行.你把icesword想象成那个病毒.所有疑问都没了鸟大了,什么林子都飞.
帖子12 精华[url=http://forum.eviloctal.com/digest.php?authorid=161549]0[/url] 积分25 阅读权限40 性别男 来自南方 在线时间6 小时 注册时间2008-4-6 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=161549]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=141581&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=141581&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-162104.html]tedrick[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

青蛙 发表于 2008-7-22 09:42

回复 板凳 letwuwu 的帖子
那删掉NTFS所有者权限呢??IS也行?? [img]http://forum.eviloctal.com/images/smilies/default/sweat.gif[/img]

回椅子 - -|
资源管理器确实有效,更简单的是地址栏,下拉,选择盘符
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=162104]0[/url] 积分1 阅读权限40 在线时间0 小时 注册时间2008-4-19 最后登录2008-4-19 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=162104]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=141591&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=141591&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]

[url=http://forum.eviloctal.com/space-uid-125015.html]刘的林[/url] [img]http://forum.eviloctal.com/images/avatars/pw/eviloctal2.gif[/img]
晶莹剔透§烈日灼然

小小鱼儿 发表于 2008-7-22 09:42

回复 楼主 刘的林 的帖子
给大家说下我的权限是
      把所有的 组 都选中(包括SYSTEM) 然后都给了 拒绝的权限。
      还有我用一些 U盘专杀病毒 杀得时候 看到了 CACLS的身影。病毒该不会是 在感染的时候把权限给该了 然后成功后在给该回来吧~ωǒ會學著放棄你ゞ是因爲ωǒ太じovの你..
[url=http://wpa.qq.com/msgrd?V=1&Uin=277364744&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子36 精华[url=http://forum.eviloctal.com/digest.php?authorid=125015]0[/url] 积分105 阅读权限40 性别男 来自枣庄 在线时间24 小时 注册时间2007-6-2 最后登录2008-4-26 [url=http://hi.baidu.com/mydelin]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=125015]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=141684&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=141684&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]

[url=http://forum.eviloctal.com/space-uid-162313.html]MeLoveChang[/url] [img]http://forum.eviloctal.com/images/avatars/11.gif[/img]
晶莹剔透§烈日灼然

一刀 发表于 2008-7-22 09:42

我刚刚找了个叫 U盘病毒防护盒 不知道效果怎么样。我是做维护的 最烦的就是U盘病毒了
[url=http://wpa.qq.com/msgrd?V=1&Uin=371912192&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=162313]0[/url] 积分1 阅读权限40 性别男 在线时间1 小时 注册时间2008-4-24 最后登录2008-4-30 [url=http://hi.baidu.com/vip5188]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=162313]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=141781&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=141781&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-137310.html]1111222334[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

风云1号 发表于 2008-7-22 09:42


很有道理
不管怎样 权限都是人赋予的
进了Ring0级 什么都是白费
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=137310]0[/url] 积分3 阅读权限40 在线时间1 小时 注册时间2007-8-29 最后登录2008-4-30 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=137310]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=141964&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=141964&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-141205.html]大漠雪花[/url]
就是为了能有知道更多
[img]http://forum.eviloctal.com/images/avatars/18.gif[/img]
晶莹剔透§烈日灼然

yoncom 发表于 2008-7-22 09:42

引用:
原帖由 taiwansee 于 2008-4-16 13:06 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=141388&ptid=32800][img]http://forum.eviloctal.com/images/common/back.gif[/img][/url]
楼主:你的图没看到。。。
如下假象:
现机房有N台机子,其中1、2号机器已经中毒。
你是在1号机器上做的权限设置(楼主提到你上机房),
现先假设你后来在2号机器上插入U盘,那么:
在2号机上当用属于Administrators 的用户登录Windo ...
支持这种说法,我也遇到过这种情况,就是只要开机插U盘或者移动硬盘就扫描,在机房的一台机子上改了,我开始还以为成功了,但到另一台就么有用了.

还有一种情况就是图表缓冲的很这个也是一个道理,只保存在你操作的计算机上,并没有保存在硬盘中.
[url=http://wpa.qq.com/msgrd?V=1&Uin=12663963&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子15 精华[url=http://forum.eviloctal.com/digest.php?authorid=141205]0[/url] 积分154 阅读权限40 来自河北 在线时间12 小时 注册时间2007-9-24 最后登录2008-7-5 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141205]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=142649&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=142649&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-163231.html]永远一个人[/url]
还没入门
[img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

ROCKY 发表于 2008-7-22 09:42

权限并不是万能的。记得在哪见过这么一句底底驱动层根本没有NTFS权限这个概念。。。。
[url=http://wpa.qq.com/msgrd?V=1&Uin=4682193&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子11 精华[url=http://forum.eviloctal.com/digest.php?authorid=163231]0[/url] 积分29 阅读权限40 性别男 在线时间5 小时 注册时间2008-5-13 最后登录2008-6-2 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=163231]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=142663&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=142663&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-141181.html]7个b[/url] [img]http://forum.eviloctal.com/images/avatars/14.gif[/img]
晶莹剔透§烈日灼然

东方小黄 发表于 2008-7-22 09:42

就算你用cacls.exe设置免疫目录的权限,文件名还是可以改的...
作者可以先cacls.exe解除权限,然后再尝试删除目录,如果删除失败,可以把目录改名的...
帖子35 精华[url=http://forum.eviloctal.com/digest.php?authorid=141181]0[/url] 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141181]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=143357&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=143357&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-124582.html]zilei[/url] [img]http://forum.eviloctal.com/images/avatars/pw/matrix4.jpg[/img]
晶莹剔透§烈日灼然

枝囡 发表于 2008-7-22 09:42

防U盘病毒 试试 kill

还可以吧
帖子8 精华[url=http://forum.eviloctal.com/digest.php?authorid=124582]0[/url] 积分17 阅读权限40 性别男 在线时间1 小时 注册时间2007-5-31 最后登录2008-5-26 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=124582]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=143387&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=143387&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-25670.html]sunfuyun[/url] [img]http://forum.eviloctal.com/images/avatars/pw/female4.gif[/img]
晶莹剔透§烈日灼然

hong5499999 发表于 2008-7-22 09:42

用压缩文件打开试试,如果U盘里与病毒能看到,
如果是电脑的的病毒,就把自动播放关了,
U盘病毒一直监测是不是把病毒删了,所以说一直在硬盘,U盘之间读取数据,可以很明显的感觉到U盘很热,AUTOTUN害死很多U盘了。
一定要注意防范,2楼说用Windows徽标键+E
不错,我经常用
[url=http://wpa.qq.com/msgrd?V=1&Uin=364253393&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子5 精华[url=http://forum.eviloctal.com/digest.php?authorid=25670]0[/url] 积分8 阅读权限40 性别男 在线时间5 小时 注册时间2006-1-3 最后登录2008-7-13 [url=http://zzit88.qq.topzj.com]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=25670]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=143448&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=143448&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-152494.html]zerosoul[/url] [img]http://forum.eviloctal.com/images/avatars/10.gif[/img]
晶莹剔透§烈日灼然

ivwsliang 发表于 2008-7-22 09:42

我汗,完了完了,照这么说只有禁用自动运行了.... [img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img]
我几天前去学校复印店插了一下,结果U盘狂闪,就是打不开,我拔了回来插电脑上,发现原来的所有资料全没了,只在里面躺着6个不同种类的U盘病毒和一个Autorun.inf(6个病毒抢一个Autorun.inf,再汗一下)
然后就格式化成了NTFS格式。我试了好几种权限配置方法,对IceSword都是没用的。
一下的权限配置只针对Autorun.inf这一个文件。
包括:
1.添加所有用户,都拒绝访问。
2.删除所有用户。
3.添加everyone,拒绝。删除其它。
4.添加everyone,system,Administators,拒绝,删除其它。
等等......
发现这些配置对IceSword都是没用的,可以直接删,看来的确进入了Ring0,怎么配置都是徒劳.....
我最后的配置是删除所有用户。虽然过不了IceSword,一般的毒还是可以防的。
今天去了躺机房,被感染了一个sysinfo2.dll,不过Autorun.inf文件夹没有被删掉。
[url=http://wpa.qq.com/msgrd?V=1&Uin=86851883&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子30 精华[url=http://forum.eviloctal.com/digest.php?authorid=152494]0[/url] 积分58 阅读权限40 性别男 在线时间29 小时 注册时间2007-12-13 最后登录2008-7-10 [url=http://www.zerosoul.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=152494]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=143454&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=143454&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-163530.html]121319426[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然

tony仔 发表于 2008-7-22 09:42

[img]http://forum.eviloctal.com/images/smilies/default/mad.gif[/img]
我也中过
帖子7 精华[url=http://forum.eviloctal.com/digest.php?authorid=163530]0[/url] 积分18 阅读权限40 在线时间2 小时 注册时间2008-5-20 最后登录2008-6-24 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=163530]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32800&repquote=143509&extra=page%3D4&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32800&pid=143509&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP

[url=http://forum.eviloctal.com/space-uid-152494.html]zerosoul[/url] [img]http://forum.eviloctal.com/images/avatars/10.gif[/img]
晶莹剔透§烈日灼然

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.