【病毒相关】

极虎病毒

极虎病毒是目前为止，集成了各种病毒、木马、木马下载器、蠕虫特征的超强恶意软件。差不多是若干知名病毒的混合体：传播方式超越熊猫烧香；对杀毒软件的破 坏力相当于AV终结者、磁碟机；对系统的破坏力更是始无前例；攻击者的目标极度贪婪，会下载各种盗号木马、流氓软件，偷帐号，弹广告，刷流量，可谓无恶不 作。
来分析一下极虎病毒创造的四个“之最”：
1.传播方式“最”多样：
（1）网页挂马传播，会利用极光0day等系统漏洞传播
（2）局域网共享传播，通过弱口令在局域网内渗透
（3）通过U盘、数码存储卡、手机卡、移动硬盘等移动设备传播
（4）软件捆绑，欺骗下载，在盗版电影下载站、游戏外挂下载站捆绑下载
（5）感染网页格式的文件进行二次传播（这招熊猫烧香用过）如 果不幸某网编中招，就可能造成网站的来访者中毒。
（6）感染可执行文件（很多人电脑中毒，没办法就会ghost，或格盘重装，但一般不是全部格式 化，这样重装后，很容易再次中毒）
（7）感染rar压缩包内的可执行程序（这一招会令电脑运行变慢，进程中发现多个rar.exe 在运行）
（8）在系统文件夹创建usp10.dll和lpk.dll（这是部分变种的特征，和猫癣病毒的 传播手法一致）
2.下载的病毒“最”多样
（1）IE主页篡改类病毒（绑架浏览器，为某些导航站刷流量）
（2）热门游戏盗号器
（3）流氓软件安装器（弹广告，改系统配置）
（4）其他类型下载器
3.清除病毒修复系统最“难”搞
（1）感染系统文件让杀毒软件不敢清除，简单的删除这些文件，会损坏系统，比如该病毒会感染"appmgmts.dll mspmsnsv.dll Iprip.dll "等10余种系统文件
（2）感染所有压缩包，手工清除难度大（几乎是无法完成的）
（3）感染所有网页文件，手工清除难度大
（4）局域网内传播，全网查杀难度大（病毒总在查询网络中其它有风险的计算机，会令网速下降）
（5）感染u盘等移动设备，一不小心可导致反复感染。
(6）对抗杀毒软件，主动防御拦截容易被针对性绕过
（7）每日更新，杀毒软件一不留神就不能防御
（8）自保护驱动，攻击驱动技术对抗杀毒软件
4.中毒后，对系统的影响“最”大
（1）综合使用多种手段令杀毒软件失效，比如主动防御无法打开，360打开即关闭
（2）开机提示系统文件丢失
（3）系统明显变慢，CPU占用极高，频繁读写磁盘，可观察到硬盘灯狂闪
（4）进程中莫名出现rar.exe 和 ping.exe 无法结束，或结束后又会再起来。
（5）大量exe文件被感染，反复报毒
（6）桌面IE图标被修改，IE主页异常
（7）部分变种会在程序文件夹下创建usp10.dll和lpk.dll，手动无法删除。

 

===================================================================

CIH 病毒

CIH的机理是利用windows 95/98系统的VxD虚拟设备接管。windows 3.X系统的主板控制权，破坏方式是擦写主板的Flash BIOS和破坏硬盘数据。CIH病毒利用了Windows 95/98 的高级电源管理功能这一VxD 特点进行破坏。CIH病毒属于文件型病毒，当执行受到感染的Exe文件后，该病毒便驻留内从中，并感染所接触到的其他PE格式执行程序。CIH是真正意义上的Window 95/98病毒。

 

============================================================================

微软正调查Windows内核缺陷 称危险不大

据国外媒体报道，微软正在对有关Windows内核中存在一处缺陷的报告进行调查，但表示，这一缺陷的影响并不大，黑客需要利用另外一个缺陷才能发动远程攻击。

　　黑客可以利用该缺陷绕过Windows Vista和Windows 7的用户帐户控制（以下简称“UAC”）功能，一家安全公司称该缺陷为“恶梦”。UAC的目的是阻止恶意件“偷偷”安装在系统中，至少增加恶意件安装的难度。

　　微软安全响应中心经理杰瑞·布赖恩特（Jerry Bryant）在一封电子邮件中表示，“微软已经注意到有关Windows内核中可能存在一个权限提升缺陷的报告。我们将继续调查这一问题，完成调查后我们将采取恰当的措施。”

　　安全公司Sophos研究员切特·威斯尼斯基（Chet Wisniewski）上周四发表博客文章称，win32k.sys文件中的这一缺陷影响所有版本的Windows，其中包括XP、Vista、Server 2003、Windows 7和Server 2008。

　　包括Sophos和Vupen在内的数家安全公司已经证实该缺陷，并表示公开流传的攻击代码能在Vista、Windows 7和Server 2008上运行。

　　但是微软强调，黑客无法远程利用该缺陷远程攻击PC，因为利用该缺陷要求用户能访问PC。布赖恩特说，“发动攻击要求黑客已经能够在攻击目标上运行代码。仅利用该缺陷，黑客不能对PC发动攻击”。

　　安全公司Prevx研究员马科·朱利安尼（Marco Giuliani）称，“该缺陷可能成为系统安全的一个恶梦，我们预计它很快会被广泛利用，黑客肯定不会错过这个机会。”

　　布赖恩特没有披露微软何时会修正这一缺陷。日期：2010-11-29 

 

==========================================================================

Windows内核现0-day漏洞 微软忙修复
 

     2011年11月2日消息：微软昨日证实，它正在努力修补在Duqu恶意软件中发现的0-day漏洞。安全研究人员发现，Duqu恶意软件内隐藏了一种未知的 Windows内核漏洞。CrySyS集团最初发现的恶意软件，并称该恶意软件包含了一个Dropper木马，利用Microsoft 0-day内核。该漏洞可能允许恶意用户在受感染的系统上远程执行代码。

Windows内核现0-day漏洞

　　赛门铁克透露，Duqu是通过修改Microsoft Word文档(.doc)来安装。赛门铁克警告，一旦安装恶意软件，攻击者可以远程执行命令并蔓延到其他计算机。然而，大多数安全厂商的产品已经检测并阻 止Duqu攻击。赛门铁克已经证实，至少有六个组织已在数个国家发起恶意袭击。

　　微软于昨日证实该漏洞，并表示正与安全咨询开发讨论解决方案。 预计不久之后，微软将发布新的系统更新安全报告。

===========================================================================