嘉定都市网

标题: 女同事碰到个QQ的自启动自发布恶意程序,有兴趣的可以一试 [打印本页]
作者: xuanren    时间: 2003-5-28 11:52
标题: 女同事碰到个QQ的自启动自发布恶意程序,有兴趣的可以一试
昨天,一个同事首到QQ上一个网站的信息,由于是熟人,所以想也没想就点机了。。。

结果是黄色网站,http://www.qq588.com

结果,呵呵,问题出现了

默认打开IE,发现已修改初使页;QQ上,点机某好友,自动象其发布这个网站地址。

估计那个象她发这个信息的朋友也是中了这个程序。

偶初步排除几个原因:诸如,改注册表,改启动选项,甚至想到了可能改了启动时的dll动态连接苦文件后,排除这些原因后。。。

在进程里发现了问题,现暂时卖个关子,如果有兴趣的朋友可以试试中招,因为这个东西很新颖,不同于以前的病毒或者恶意脚本,木马之类的,有兴趣的试试吧。。。呵呵。。。

肯定有办法解决的,而且偶已经找到办法了;如果不想中招的,可要当心这个网站了,算提个醒吧。。。

难得写这么长的东西的,将就点吧
作者: ilsem    时间: 2003-5-28 12:38
jiba,renzha,haihaowangluoyouwenti,dabukai
作者: 虾砍海聊    时间: 2003-5-28 12:40
该页无法显示
您要查看的页当前不可用。网站可能遇到技术问题,或者您需要调整浏览器设置。

--------------------------------------------------------------------------------

请尝试以下操作:

单击刷新按钮,或以后再试。

如果您已经在地址栏中输入该网页的地址,请确认其拼写正确。

要查看连接设置,请单击工具菜单,然后单击 Internet 选项。在连接选项卡上,单击局域网设置。 这些设置应该与您局域网(LAN)管理员或 Internet 服务提供商(ISP)所提供的相匹配。
如果您的网络管理员允许,Microsoft Windows 可以检查您的网络并自动查找网络连接设置。
如果您希望 Windows 进行查找,
请单击检测网络设置。
某些站点要求 128-位的连接安全性。单击帮助菜单,然后单击关于 Internet Explorer 可以查看您所安装的安全强度。
如果您要访问某安全站点,请确保您的安全设置能够支持。请单击工具菜单,然后单击 Internet 选项。在“高级”选项卡上,滚动到“安全”部分,复选 SSL 2.0、SSL 3.0、TLS 1.0、PCT 1.0 设置。
单击后退按钮,尝试其他链接。



找不到服务器或发生 DNS 错误
Internet Explorer  
作者: xuanren    时间: 2003-5-28 13:34
楼上的,难道是教育网内的WEB服务,你没有访问权限?

再试试?是不是你设置过FW已经屏蔽了某些网站?

或者找个HTTP代理在试
作者: johnlee    时间: 2003-5-28 14:51
确实恶心,我试了,已经中招,呵呵
正在努力奋斗中
作者: xuanren    时间: 2003-5-28 14:59
johnlee果然奋斗在第一线啊。。。

呵呵。。。恩,努力过再知道解决方法才能学到东西

加油。有问题可以MSN偶。。。
作者: 一堆粪    时间: 2003-5-28 15:01
哈,那我就不试了,太可怕了
作者: xuanren    时间: 2003-5-28 15:08
MSN:xuanren_2000@163.com


回7楼的:最可怕的事情还不是未知的事情,有什么比谣言,无根据的揣测还可怕?既然已经知道能克服,还怕什么呢?

呵呵。 。。
作者: gundam_xx    时间: 2003-5-28 15:11
为什么偶想中 却中不了???
作者: xuanren    时间: 2003-5-28 15:16
你个死XX,放低安全级别,关闭防火墙,再试试
作者: gundam_xx    时间: 2003-5-28 15:19
安全级别-中
已关闭金山毒霸2003啊
还是不给我中...
现在放到最低级别了~~还是一样哎

此贴由 gundam_xx 在 2003-05-28 15:20:48 最后编辑
作者: xuanren    时间: 2003-5-28 15:19
MD,到底有XX神功护体。。。
作者: gundam_xx    时间: 2003-5-28 15:21
快点想办法
让我中啊~~~~
我已经想办法关闭所有安全措施了
作者: xuanren    时间: 2003-5-28 15:23
没办法。。。自贡吧。。。
作者: johnlee    时间: 2003-5-28 15:34
唉,给你东西玩你还玩不了
作孽啊
作者: ilsem    时间: 2003-5-28 15:57
说的我心痒痒了。。。 回家试试
作者: quietsoso    时间: 2003-5-28 16:28
大家为什么不推测一下,楼主为什么不说解决方法?
作者: johnlee    时间: 2003-5-28 16:39
原文由 quietsoso 发表
不说是为了学习,让自己推敲一下
因为大家都认识,所以不会有恶意的,请你放心
古代学医的人,经常都拿自己当试验者,我们现在其实也一样,不过最多烦你几天啦,不用担心的。
作者: quietsoso    时间: 2003-5-28 16:44
我这里没有装QQ,装了也不能用,封端口的
回家试试吧
五一的时候弟弟的电脑好像也中了这个QQ恶意程序
我就重装咯,也没仔细研究
开始是锁注册表的,改ie设置,重装QQ也没用
没办法
作者: xuanren    时间: 2003-5-28 17:03
quietsoso:偶已经说的很清楚了,喜欢搞电脑的朋友都应该喜欢探索未知的东西

偶知所以发这个帖子,就是想提醒不知道这个类似病毒的东西的朋友,注意安全;想让有兴趣一试的朋友尝试一下这个东西的机理。不是说,知几知彼,百站不带么/

而且,johnlee也已经找到了应对的办法,也已经解决了问题。只是他与偶遇到的情况还不太一样。。。

还有就是,这个不缩注册表,其他好象跟你说的类似
作者: ilsem    时间: 2003-5-28 19:13
原文由 quietsoso 发表

装最新版的qq,用http代理上,封端口没用
作者: 雨後的天空    时间: 2003-5-28 23:01
回家晚了刚看到这个帖子,我看到网页打开时有个确认窗口一闪,估计是自动确认的,后面的地址来不及看,好像是mm之类的开头,不是普通的http,我还在等网页跳完,等那个恶意程序安装好
       

呵呵,正在下载http://www.QQ588.com/588/QQ588webauto.mht
好东西哦,值得收藏修改一下下来送人

此贴由 雨後的天空 在 2003-05-28 23:05:18 最后编辑
       

--====B====
Content-Type: audio/x-wav;
    name="qq588.exe"
Content-Transfer-Encoding: base64
Content-ID: <Mud>

QQ588.exe元凶哦,作为音频文件自动加载播放

此贴由 雨後的天空 在 2003-05-28 23:13:18 最后编辑
作者: xuanren    时间: 2003-5-29 09:09
个人情况不同:

偶同事那台机器,QQ目录下新建三个可执行文件,一个是影响WEB页面的,一个是影响QQ的,还有一个未了解。在我的文件假目录创建一个588的可执行文件,进程里有588这个未知进程。
作者: 山涧清泉    时间: 2003-5-29 09:43
倒,恶意代码厉害的话,无法修复了,小心啊,不要小看这些东东,上次我网页一直有广告出现,屏蔽不了啊,什么地方都找遍了,修复n次也没用
作者: 椒盐花生MM    时间: 2003-5-29 10:11
这是狩猎者木马拉!很容易解决的!
作者: nini    时间: 2003-5-29 10:17
哈哈!我已与半个月前解决这个问题了!楼主你到底知不知道怎么解决?要不要我告诉你啊!:)
作者: xuanren    时间: 2003-5-29 10:19

“狩猎者”病毒出现 QQ聊天当心中招


      

    日前,金山毒霸反病毒监测中心截获一例新木马病毒“狩猎者”。该病毒的特征非常类似于“爱情森林”,病毒激活后,会自动向QQ里的好友发消息消息内容通常是某些网站的主页地址。用户点击QQ消息中的链接,进入相应网站,就可能中毒。

    据金山毒霸信息安全事业部技术总监陈飞舟介绍,金山毒霸反病毒监测中心已经捕获三个“狩猎者”病毒的变种,它们分别潜藏于以下三个网站:www.k163.com;www.qq3344.com;www.dj3344.com。有关专家表示,“狩猎者”病毒主要利用系统漏洞作恶,之所以能够广泛流行,是因为上网用户的安全意识不够强。(记者 张旭光)


来源:《北京晨报》 2003年5月12日  (责任编辑:陈健)


照响应来看,金山毒霸至少做到了贴近用户,好象是第一个出现专杀工具的国内防病毒厂商

还有,多谢26楼的MM,至少知道了这个病毒的称呼。。。呵呵。。。谢谢了。。。
作者: *恬宝宝*    时间: 2003-5-29 10:20
我不试~~~我是菜鸟么人帮的,我刚重装电脑才三天啊
作者: xuanren    时间: 2003-5-29 10:21
28楼的,你看清偶的帖子么。。。

1。是偶同事的机器,不是偶中标
2。24楼偶已经贴了偶的处理办法
3。偶已经基本不玩QQ,尽管偶从不刻意装什么病毒,防火墙之类的软件,好象记忆中也从没中标过。。。除非是做实验,那没办法。。。声明一下,是内网用户




还有,希望来软硬的朋友,都看清楚楼主的主题以及楼众的回复。。。



此贴由 xuanren 在 2003-05-29 10:26:44 最后编辑
作者: nini    时间: 2003-5-29 10:24
可是楼主!你并没有那出方案来啊!只是其他人回答了!有什么希奇的!要你自己说才对嘛!
作者: xuanren    时间: 2003-5-29 10:24
30楼的,你每天装一次,一个月不就不是菜鸟了么。。。
作者: xuanren    时间: 2003-5-29 10:27
32楼的,24楼的不是偶的解决方法么?你没看清楚么。。。???

还有楼顶的帖子不也是中毒后偶的分析以及初步执行的解决方法么?安全,是意识高于技术的。。。
作者: nini    时间: 2003-5-29 10:28
还有你是做安全的那你的女同事应该也是你一起的吧!那为什么你们公司自己的电脑一点也不安全呢?
作者: 灰色寂静    时间: 2003-5-29 10:29
开不出啊。。。。。。。。。
作者: *恬宝宝*    时间: 2003-5-29 10:30
我重装还是让别人帮的呢每天装一次他不要宰了我啊~~
作者: xuanren    时间: 2003-5-29 10:37
既然34楼你这么说了,那偶今天来跟你分析一下:
1。她是女生,不是偶歧视女性,但在某些领域,女生确实不如男生。而且大多数女生对IT的态度是得过且过
2。她是公司财务,你说财务需要了解很多的安全知识么?
3。因为喜欢聊天,喜欢上新鲜的网站,那你说能及时防护么/
4。即使是最先进的防火墙以及内容过滤设备,也无法做到这种从里面发起的主动式状态包,更何况其是正常WEB应用;即使在FW上限制了控件以及JAVA程序的下载,但也需要有记录,也就是说需要与IDS互动啊;如果本身这种病毒未知,而且没有在IDS动态规则库里有记录记载,那又如何通知FW作到限制访问呢。。。



还有,就是不要咬文嚼字了。。。

偶之所以写这些东西,是想给电脑用户提个醒;给感兴趣的朋友有个实验的机会,就这么简单了。nini适可而止,再这样讨论下去就没有意义了。。。

何况,毒霸已经出专杀工具了。。。大家可以用搜索引擎去下载。。

此贴由 xuanren 在 2003-05-29 10:39:36 最后编辑
作者: *恬宝宝*    时间: 2003-5-29 10:40
好像发现个有重男轻女现象的绝版人物
作者: 雞蛋布丁    时间: 2003-5-29 10:42
原文由 xuanren 发表



偶是菜菜鸟~~所以更不试~~~

作者: xuanren    时间: 2003-5-29 10:47
说的是事实。。。想辩驳可以去灌水另开帖子,偶奉陪

今天偶心情好,顺便告诉你38楼的,偶确实是大男子主义的。。。
作者: nini    时间: 2003-5-29 10:57
怪不得了!有些观点是有点偏激了(总而言之那台电脑是你们公司的是你们公司没做好安全工作,难道不是吗?)!楼主这样不好哦--重男轻女!
作者: xuanren    时间: 2003-5-29 11:07
行了行了,偶承认错误还不行么?

是偶没做好安全措施,让她不安全了,行不?
作者: nini    时间: 2003-5-29 11:14
你承认就好了!
作者: 雨後的天空    时间: 2003-5-29 15:14
原文由 xuanren 发表

你好可怜哦

不知道是不是我的xp补丁打得太好还是什么其他原因,那个网站看了以后没有受到任何影响,也没发现那个QQ588.exe程序,实在没法继续尝试,只能帮忙做分析了
作者: 网络菜鸟    时间: 2003-5-29 15:31
我在3-4有月前早就碰到过了
搞的定
作者: xuanren    时间: 2003-5-29 16:09
搞不定么最多FORMAT。。。

偶只是希望大家都能把流程写下来,以备将来万一发生问题

重要的是能有理性的思维,知道处理的顺序。。。
作者: 网络菜鸟    时间: 2003-5-29 17:28
要不要我给你一个硬盘炸蛋的连接
再让你研究研究
作者: xuanren    时间: 2003-5-29 17:36
47楼的,你说话好冲。。。

你是想说明什么?

你能耐强么?
作者: johnlee    时间: 2003-5-29 18:57
原文由 xuanren 发表
玄人你好可怜哦
很多人都和你叫劲来着
其实你也不要放在心上,如果他们是想讨论学习东西,也就不会和你叫劲了,他们大多也就是无聊而已

TO ALL:讨论问题时请不要偏题,严禁灌水和进行人身攻击
作者: 终端    时间: 2003-5-30 13:14
呵呵~我才试过~一下就中招了~正想办法解决呢~
作者: xuanren    时间: 2003-5-30 16:52
50楼的,希望你到时候把解决的整个流程共享出来,大家参考。。。
作者: 椅子    时间: 2003-6-4 14:12
原文由 雨後的天空 发表:回家晚了刚看到这个帖子,我看到网页打开时有个确认窗口一闪,估计是自动确认的,后面的地址来不及看,好像是mm之类的开头,不是普通的http,我还在等网页跳完,等那个恶意程序安装好  
   

呵呵,正在下载http://www.QQ588.com/588/QQ588webauto.mht
好东西哦,值得收藏修改一下下来送人  




衰人,什么网址啊,我吓死,幸好,跳出来的只是用记事本打开的,说,倒地是什么
(大哥………………就告诉我吧)
作者: 雨後的天空    时间: 2003-6-5 07:57
原文由 椅子 发表

呵呵,我什么情况都没发生,我也想自己尝试一下



欢迎光临 嘉定都市网 (http://www.jiading.com.cn/) Powered by Discuz! X3.1