网站首页
维修网点
QQ专家在线
电脑保修
工具软件
在线查毒
电脑问题搜索
官方论坛
站点地图
友情链接
XML
RSS 2.0
联盟点:
北京
上海
深圳
广州
南京
杭州
成都
西安
厦门
武汉
重庆
天津
更多城市
加入收藏夹
设为主页
认识电脑
电脑优化
电脑保养
故障症状
学习维修
维修资料
病毒门诊
数据恢复
使用技巧
电脑常识
笔记本
安全技术
系统漏洞
专题导读:
操作系统
Windows Vista系统故障
Windows Xp系统故障
Windows 2003系统故障
Windows 2000系统故障
Windows 98系统故障
软件使用
网络配置
网络攻击
病毒
木马
主板
CPU
内存
硬盘
键盘
显卡
声卡
鼠标
显示器
音箱
刻录机
光驱、光盘
电源、UPS
网络设备
扫描仪
打印机
其它硬件
服务器
游戏平台
手机/MP3
相机/摄像头
USB
无线应用教程
软件漏洞
硬件漏洞
您的位置:
网站首页
>>
病毒门诊
>>
按键精灵脚本隐藏木马的三种方式及防
按键精灵脚本隐藏木马的三种方式及防
发布日期: 2007-1-22 15:55:53 查看数:
PcHiHI.com
昨天,有一应聘兼职的家伙(这里姑且让我把这个流氓称做家伙)问我加木马的脚本是否比正常脚本的收购价格要高。
语气中骂骂咧咧,让我极为不爽。在痛恨这该死家伙的人品同时,也让我想到了按键精灵脚本的安全问题,燧有此文。
从刚开始用按键精灵编写脚本到现在已有近两年的时间。
因为简单游工作的关系,必然要了解按键精灵脚本夹带木马的各种方式。
简单游几十万的在线用户,万一被木马感染,后果可想而知。
从最开始认为按键精灵不可能传播病毒木马到现在已经清楚知晓在脚本中夹带木马的几种方式,个人经验,以供诸位朋友防范。
1:
按键精灵更新到5.6版本时,为了简单游的专职脚本设计人员可以方便的使用各种插件,提供了附件功能。
在轻松释放插件文件的同时,也给病毒木马提供了简单的接口。
当初也因为这个问题和按键精灵的作者之一LEO详细讨论过,最终的结果是菜刀可以用在厨房,也可能出现在杀人现场。
关键点是持有人如何对待。我也赞同这种说法。
回归主题
插件在脚本中,是把二进制文件用email附件文本传输格式储存在脚本[Attachment]中。
使用PutAttachment关键字,还原释放到指定目录中。真正的插件一定会释放到plugin中,但释放到plugin中的未必是真正的插件
解决方法:
如发现脚本代码中存在PutAttachment语句,除非对脚本是可信赖的,否则不要轻易使用。
如要使用,有个简单的判断方法,打开按键精灵,在脚本的[Script]下,写上:
PutAttachment plugin
EndScript
执行后,查看plugin中是何种文件,如果是DLL,则关闭按键精灵,再次打开任意脚本点选释放出来的DLL插件。
如出现“这个插件未经过数字签名”就要小心了。
插件的数字签名由兄弟工作组提供。个人可以把插件代码提供给兄弟工作组,人工确认无害后,会回传一个带安全认证插件签名的DLL。
2:
使用ADODB.Stream和Microsoft.XMLHTTP对像由网络下载某文件到硬盘里执行。
这个功能在按键精灵3.6版以后都可以使用,VBS自带的功能。不过这个功能我还没看到哪个人有加到代码里。
解决方法:
发现脚本中存在createobject("ADODB.Stream")和createobject("Microsoft.XMLHTTP")的,千万不要使用,里面肯定有猫腻。
3:
这里是2类型的变种类型,也是可能存在的木马。
语句格式:createobject(str1)
其中str1是变量,其他人的脚本不一定是str1。
或许你不懂什么是变量,简单的说,如果createobject后面()不是("x.x")就需要小心了。x.x中的x可以是英文字母、数字、下划线。
但不可以有除英文字母、数字、下划线和中文以外的字符,比如“&”、“+”。
("Scripting.filesystemobject")是正常的
("M"&abc+"http")就不是正常的了。
4:
为什么要有4?这里是种可能,我没有实验过。理论上是可行的。
这种可能是,在脚本的前面或者后面有一堆奇怪的字符。利用VBS的文件系统对象,写到硬盘中并且调用。
总之存在类似:UEsDBBQAAgAIAFwtPTMs9Gw1sQ0AAAAgAAAKABEAV这样超过100个字符的乱码就肯定有问题。
这里说一下插件
插件也是类似UEsDBBQAAgAIAFwtPTMs9Gw1sQ0AAAAgAAAKABEAV这样的字符。不过是在脚本开头的位置。===========================================================
[General]
Description=脚本名称
BeginHotkey=121
BeginHotkeyMod=0
RunOnce=1
Enable=0
[Repeat]
Type=0
Number=1
[CallBack]
OnSetup=
[Comment]
Content=
[Attachment]
UEsDBBQAAgAIAFwtPTMs9Gw1sQ0……
……
……
[Script]
//脚本内容
===========================================================
这里的[Attachment]是插件内容,如果碰到这样的代码怕不安全,就需要参考我刚开始说的第1种方式。
PS:
尽量不要使用来历不明的小精灵。小精灵的代码是隐藏的,我们无法得知其是否夹带了病毒木马程序。
并不是所有的木马杀毒软件都可以查的出来。最起码刚写出来的木马,杀毒软件就肯定查不出来。病毒库里没有嘛:_)
唠唠叨叨写了不少。居然都块2点了,准备睡觉。也祝福各位朋友好运。
电脑维修知识网
上下页导航
上一页:
iexplore.exe病毒的查杀方法
下一页:
QQ广告弹出木马的手工查杀方
【打印】
字体
【大】
【中】
【小】
【关闭】
热点主题
彻底解决Trojan.PSW.QQPass病毒
Trojan-psw.win32.online Games.es 病毒清除办法
auto.exe和autorun.inf查杀方法
有争议的conime.exe
sxs.dll sxs.exe病毒专杀工具及sxs.exe病毒手动删除方法
清除pctools.dll 新萌科技(上海)有限公司-垃圾广告
copy.exe病毒 硬盘双击打不开了
清除Svchost.exe
手工删除update.exe病毒
lsass.exe病毒的查杀方法,附专杀工具
ARP病毒临时解决方法
八步轻松清除desktop.ini病毒
~my1.tmp清除的最佳方法(cnwin和pctools)
autorun.inf、servet.exe和ie777.exe木马的手工杀毒方法
1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 7.exe 8.exe病毒
解决EXE文件打不开的问题(4种方法)
感染型病毒Trojan-Downloader.Win32.Delf.axl专杀修复工具
TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)
SVCHOST.EXE应用程序错误解决方法
威金蠕虫:所有的exe图标都变色变模糊
最新主题
如何映像劫持杀毒软件
关于病毒主动防御的新见解
木马容易盯上的注册表位置
彻底清除无法显示隐藏文件的病毒
Flash特务(Orz病毒)分析报告
利用FLASH漏洞传播的对抗型“特务病毒”出现
如何预防ARP病毒以及做好个人电脑病毒防护
用最简单的方法摆脱病毒的纠缠
提升权限 把无法删除病毒扫地出门
Troj.6to4ex恶意软件的清除
Adobe flash漏洞,请尽快将Flash Player升级到9.0.124
不同情况下病毒查杀技巧
在系统里对U盘写保护防毒
win32.virut病毒的清除方法
当病毒囚禁了输入法
教你识别危险进程
完美解决双击无法打开C、D、E、F盘等Autorun病毒
MIDI机器狗
网络资源推荐
站务联系:XBell@163.com 在线QQ:573861490
备案序号:粤ICP备06093858号
版权所有 2006 电脑维修知识网 最佳分辨率 1024 X 768
Copyright © Http://www.PcHiHi.com/ All rights reserved.
