惡劣的木馬病毒,本文將針對BackDoor.DarkSky(諾頓名稱)用regedit把登錄檔修改回正常值來進行解毒。
Backdoor DarkSky木馬病毒
症狀:
中毒後會無法執行執行檔
無法用記事本開啟文字檔
也無法開啟chm的說明文件。
解決方法:
在還沒完全開機好前
可以啟動開始工具列裡的執行時
輸入regedit
(這一步動作要快
不然等開好機後,病毒的程式碼就載入了
如此一來將無法執行regedit.exe)
然後
(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中將鍵值:
TaskMonitor %windir%\%system%\Msinter.exe清除。
或是清除sysarchive.exe或是KNRL32.exe
(2)HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
中將鍵值:
%windir%\%system%\Notepd.exe "%1" %*
改為"%1" %*
(3)HKEY_CLASSES_ROOT\txtfile\shell\open\command
中將鍵值:
%windir%\%system%\Notepd.exe "%1"
改為C:\WINDOWS\system32\NOTEPAD.EXE %1
(4)HKEY_CLASSES_ROOT\scrfile\shell\open\command
中將鍵值:
%windir%\Nuscr.exe "%1"改為"%1" /S
(5)HKEY_CLASSES_ROOT\chm.file\shell\open\command中將鍵值:
%windir%\Nuscr.exe "%1"改為"C:\WINDOWS\hh.exe" %1
修改的鍵值需視情況將WINDOWS改為WINNT
修改鍵值後將C:\WINDOWS下的
Nuscr.exe Notepd.exe Msinter.exe KNRL32.exe刪掉
此時重開機就可以執行Norton AntiVirus
先執行LiveUpdate再進行全系統掃毒以確保安全
如有錯誤或問題,不吝指教,請來信討論。
ZDNet China 5月14日報道卡內基‧梅隆大學的研究生12日提議兩套方法,據稱可大幅降低因特網攻擊的破壞力。
在加州柏克萊舉行的一場IEEE安全性與隱私座談會上,這群研究生發表報告,提出兩項建議,指出若是在網絡軟件略做修改,即可大挫拒絕服務攻擊(denial-of-service attack)的銳氣,而且用現行的因特網協議即可。這場座談會由電機電子工程師協會(IEEE)贊助,
從11日開始舉行到14日閉幕。
AT&T Labs網絡安全研究員Steven Bellovin說,這兩項建議都言之有理,有助於解決最令網絡管理者感到棘手的阻斷服務攻擊問題。
阻斷服務攻擊基本上有三類:第一類用大量的數據綁住受害者的網絡服務器;第二類占滿內存,讓服務器形同癱瘓;第三類利用軟件瑕疵造成服務器停擺或當機。會中提出的兩項建議把矛頭對準前兩類的阻斷服務攻擊。
第一項建議由匹茲堡卡內基‧梅隆大學計算機工程研究生Abraham Yaar所提出,旨在反制以偽造因特網協議(IP)地址傳送大量數據的攻擊。
Yaar建議利用大致上未使用到的網絡信息流的標頭(header)部分,也就是附加在每一則電子訊息上頭的數字化地址訊息,並依據訊息透過網絡傳輸所經過的路徑將訊息“按上指紋”。遭大量資料襲擊的受害者便可根據這種“指紋”,或路徑識別編號(path-identifier number),來研判該不該請因特網服務供貨商(ISP)攔阻傳發自某些因特網區域的數據。
“即使總共的攻擊流量達到正常流量的170倍,服務器仍有60%的容量能夠撥給合法的用戶,”Yaar在他發表的報告中說。
信息洪流是可以預防的?
一種常見的阻斷攻擊模式,是由成千上萬部計算機傳發數據淹沒某個網站。這種攻擊大體上向來被視為無可預防。兩周前Unix軟件商SCO Group的網站,和美伊戰爭期間半島電視臺(Al-Jazeera)的阿拉伯新聞網站,都是這類攻擊的受害者。
卡內基‧梅隆助理教授暨Yaar的指導教授Adrian Perrig說,根據Yaar的建議進行大型網絡仿真後,分析所得的結果令人振奮。他說:“就因特網地址造假的情況而論,我們的方法能輕易地克敵制勝。”
此法將路徑識別編號儲存在網絡數據封包大致上未用到的區域:16位的IP識別區。Perrig說,該識別區隻在網絡數據被分散成片段儲存(fragmented)時纔會用得上,使用機率不到十分之一。
這項建議的優點之一是,即便隻有30%的ISP采納,這個辦法仍行得通。此外,此建議把解決因特網安全問題的重責大任從阻斷服務攻擊的受害者的肩上卸下,轉移給攻擊者的ISP去承擔,因為這類攻擊導致供擊者所在位置附近的因特網交通被受害者服務器給阻斷。 AT&T的Bellovin說,這兩點是他欣賞這種方法的理由,但他也擔心可能導致片段儲存(fragmentation)方面的後遺癥。他指出,許多數字用戶回路(DSL)供貨商用的一種網絡數據技術會導致片段儲存增加。如果Yaar的建議獲廣泛采用,這些服務的用戶可能發現,在攻擊發生的期間,他們的因特網聯機幾乎無法使用。
猜謎法
第二項提議也是由卡內基‧梅隆大學的研究生所提出,建議服務器出“謎語”(puzzles),也就是提出必須花一些時間解答的問題,好讓任一部試圖與該服務器溝通的計算機多花一些運算工夫。這種手段以前也有人提過,用來打擊傳發垃圾郵件者。但研究生XiaoFeng Wang說,此法也可用來防範讓受害者服務器內存塞滿成千上萬聯機訊息的阻斷服務攻擊。
XiaoFeng Wang宣稱,增加一些小謎語,合法用戶幾乎感覺不到它的存在,但攻擊者想作亂卻必須費更大的力氣。其它人雖已提出類似的方法,但Wang的作法增加一招,就是用類似拍賣的交易方式,進一步讓合法的信息流勝出,讓垃圾信息攻擊不得其門而入。
他在研究報告中聲稱:“我們的機制讓每個客戶端『出價』爭奪資源,方法是調整它必須解答的謎語難度,並修改其競標策略,以因應顯然可見的攻擊。”
Bellovin也喜歡這個點子,但也指出有些問題仍待解決。他說:“某種程度上,此法可行。問題是,發垃圾郵件者和阻斷服務攻擊者用的不是自己的計算機。如果他們需要增加16倍多的計算機,他們極可能有辦法取得。”
ChinaByte8月1日消息 要在互聯網上匿名發送數據的黑客現在有了一種新工具。
網路保護公司BindView的高級安全研究員Mark Lovelace 7月31日在Black Hat Briefings安全大會上推出了這種工具軟件。他說,這種名為“NCovert”的工具軟件採用欺騙技術隱藏網路通信和在網上傳送數據的來源。這種軟件將使隱私擁護者和黑客都受益。
Lovelace說:“我不準備拐彎抹角地講話。如果你有需要隱藏的東西,你就可以使用這個軟件。因此,這個軟件可能會幫助黑帽子(黑客犯罪分子)。”
這個技術實際上是通過隱藏文件頭的初始序列號中的前四個數據字符為通信制作一個轉換通道。文件頭是數據包的一部分,可以告訴網路硬件和服務器如何處理這個信息。文件頭還包括發送方和接收方的IP地址。這些地址可用來為通信添加匿名。
Lovelace介紹說,這個技術的關鍵是偽造發送方IP地址,使這個地址看起來像是接收方地址,而接收方IP地址則指向網絡上另一個第三方服務器。
黑客接下來就能夠向第三方服務器發送數據包,這些數據表面上看好像是合法的信息,實際上真正的信息隱藏在初始序列號的前四個字節裡。這個數據包可能包含一個信息,指示計算機要與其進行通信的第三方服務器。這個服務器承認這個信息,但是,由於發送方IP地址是偽造的,這個信息便會發送給接收人。由於這個數據中隻有接收方和第三方服務器的地址,因此要跟蹤數據發送的源頭幾乎是不可能的。
Lovelace表示,下一代互聯網協議IPV6將使隱藏發送人地址的網絡欺騙行為很難實現,但是這種協議能夠在數據包的文件頭中隱藏更多的數據。
大陸方面所指的黑客為Cracker
與台灣所指的Hacker不同
Hacker(在台譯駭客,功力高深並有對網路安全等方面貢獻者,大陸叫黑客)
Cracker(在台譯怪客,藉由漏洞或是弱點搗亂者,在大陸意指紅客)
其中黑客與紅客是最近才看到的
如有不適的翻譯請見諒
日經BP社報道
5月10日後在“Bugtraq”和“NTBugtraq”等日本安全郵件列表中報告了IE瀏覽器存在嚴重安全漏洞的問題。用戶即便安裝了最新的補丁(patch)程序後,同時在“Internet選項”安全設置中把script相關功能全部設定為無效,還是有可能受到攻擊。
具體來說,如果用戶瀏覽了做過手腳的Web頁面,就有可能運行帶有惡意的程序。其對策是不要訪問可疑站點。另外把“文件下載”設置為無效也能夠防止運行這種程序。
目前微軟和計算機安全組織仍未公布此安全漏洞的相關報告和補丁程序。但利用此安全漏洞的發現者和測試人員公開的Exploit(一種測試代碼(code))測試後發現,就連一些日本著名的IT網站(網絡環境是安裝了全部補丁程序的IE 6 SP1+Windows 2000)也都存在這種漏洞,因此建議用戶多加注意。
攻擊方法非常簡單。比如,攻擊者只需準備一個指向惡意文件的iframe標簽文件,並將其重復插入Web頁面即可進行攻擊。IE用戶瀏覽了此頁面後,會顯示出一個要求用戶對所指定文件進行處理的對話框。由於插入了多個iframe標簽,因此會連續顯示這種對話框。在連續顯示過程中,即便用戶沒有進行任何指定,由於某種原因,指定的文件會被隨意下載並執行。
在顯示對話框後如何執行,根據不同的用戶環境而有所不同。另外,據“NTBugtraq”郵件列表上發布的文章可知,好像有的用戶即便試用了Exploit,也沒有出現這種情況。對於該現像產生的原因,目前尚不清楚。
雖然目前原因不明,但可以肯定確實存在某種安全漏洞。因此用戶需多加注意。其對策之一是將瀏覽器的“文件下載”選項設置為無效。設置的用戶不會再下載和運行惡意文件。
不過,螢幕上會連續顯示“安全警告”對話框。IE瀏覽器會因此而暫停。也就是說會給電腦造成與“browser crusher”相同的“結果”。如果連續顯示對話框,就必須關閉IE瀏覽器,或者利用任務管理關閉IE瀏覽器進程(無法關閉IE瀏覽器時就要重新起動電腦)。
NTBugtraq編輯即美國TruSecure的Russ Cooper撰文說,如果在“受限站點”中增加了攻擊者站點的話,就不會執行文件,或者顯示對話框。實際測試結果確實如此。
總之,最有效的對策是不要訪問可疑站點。筆者再重復一遍,希望大家銘記這一點。(記者:勝村 幸博)