前不久在毒霸强大云查杀的海量收集下,发现了一种新型病毒,该病毒通过搜索特征码的方式找到用户何时输入用户名密码,与此同时遍历窗口找到用户打开密保卡图片的窗口,连同账号密码与密保卡信息一同提交到木马服务器。
所谓密保卡就是游戏公司推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。由于密保卡每次随机选择三个方格中的数字作为临时动态密码,因而,这一动态密码每次都是不同的,盗号木马如果想盗取成功就一定要想办法获取密保卡信息。下面就一起来看看该病毒是怎样绞尽脑汁盗取用户信息的。
QQ密保卡
为了实现邪恶目的,这个马必须要安然到达用户的系统中,这时候就必须绕过第一道防线—-安全软件。病毒首先通过在指定范围内查找系统文件代码的方法对抗杀软的虚拟机,使杀软虚拟机执行Int 0 异常,虚拟机跑不出行为,自然就避开了部分杀软的监控。
为了给分析师的静态分析做足干扰,病毒作者不仅使用了变形与加花,还将所有网址,特征码等有用数据进行加密处理。根据解密出的特征码,病毒开始匹配内存数据,如果匹配到则保存地址进行 patch,得到用户账号与密码后病毒作者还会进行简单的核对,类似QQ号码的长度,号码中是否有数字之外的字符等,看来病毒作者也在提升自己的代码质量。
木马千辛万苦坚持到现在,已经实属不易,不过如果木马遇到的是警觉性高的用户可能会面临功亏一篑的危险,因为部分用户为了保护自己的账号密码会使用密保卡等这些高安全级别的密码保护方式。不过这类木马获取用户的密保卡信息会在用户输入密保卡的时候查找Windows图片传真查看器,画图板和ACDSee窗口等图片查看窗口,找到后则遍历进程,通过查找包含特殊字符串的方法得到密码卡所在路径。如果用以上的方法不能定位到图片密保卡文件,木马就会使用截图方式,对整个屏幕进行截屏保存,然后链接黑客服务器,上传盗取的数据。刚好用户没升级的那天遇到此类木马流行,后果可想而知。
WinHex查看ACDSee进程内存中图片文件的路径
病毒的这种手段对用户的账号信息造成了很大的威胁,建议用户在打开游戏登陆界面之前记录密保卡相关信息,出现登陆框的时候直接输入数据,避免登陆框和密保卡图片同时存在桌面的情况。也可以考虑其他密码保护方式,比如纸介质密保卡,手机Token等。同时开启安全软件的实时升级与文件监控,这样可以更直接更快速的防护新型木马的入侵。
中央民族大学校长每月工资多少?
不得不说,这是俺目前为止看过的高校被挂页面中,最那啥的。
中央民族大学财务处被挂马,意味着什么呢?意味着该校所有到这个页面查工资的老师都可能已经中了后门程序,电脑里啥都被黑客看光了。也许某位黑客已经整理出详细的收入名单了,正在那里数:嗯,校长每月工资多少、教务处主任工资多少……没准还有些健康活泼的女学生的照片。
当然,也许也没这么恐怖,顶多是中了一堆网游盗号木马而已,因为这个页面还可以查学生的学费,黑客的目标更多可能是学生们的游戏账号。
之所以特别点名该网站,是由于被黑页面实在太杯具了,该页面也被埋入了隐蔽式的黑客攻击代码,由于代码本身的结构问题,当使用ff浏览时,可以看到满屏的代码,令人眼花缭乱;而用IE浏览时,只能在源代码中看到。
主页上被嵌入了隐蔽的链接。这些广告链接可以帮助它们所指向的网站刷排名。
金山毒霸宽带资源疑问完全解析
最近网上沸沸扬扬的开始流传金山毒霸未经用户非法占用宽带资源。下面我们对此进行如下说明:
kaccore.exe我们把他叫做金山基础服务,其实是一种跨浏览器自适应掉用本地功能的装置,没有这个进程,金山有些功能就不能使用。
同时这个进程也承载了金山毒霸未来的互联网转型计划,可以看到现在互联网越来越多的应用基于浏览器,只要你打开浏览器,就能做你一切想做的操作,前些时候流传的Google OS(谷歌操作系统)其实就是Google Chrome(谷歌浏览器)加很多的谷歌自己的应用,谷歌主打的就是浏览器上使用操作系统。
我们认为这是互联网以后的一种趋势,所以我们苦心研发,是为了更好的适应之后的互联网,适应这一种新技术的趋势,大家可以看到,我们和腾讯合作的搜搜安全中心、百度合作的百度安全中心、微软合作的msn安全保护盾都有这个进程,而且搜搜安全中心和百度安全中心这些内容都是把安全软件在浏览器上操作的,以及我们之后基于我们蓝芯2新引擎的金山云安全在线查毒,这其实已经证明我们已经在走向互联网前端的步伐。
回答问题一,kaccore.exe占流量吗?
关于kaccore.exe进程占用流量资源这个问题,其实是大家误会了,kaccore.exe向外链接地址是127.0.0.1端口为9090,如图:
学过网络基础知识的人就明白,127.0.0.1在微软里面还有一个名字叫localhost,localhost英文翻译是本地。综述上面内容我们可以理解为kaccore.exe向本地的服务器请求连接进行操作,换句话说,kaccore.exe占用的流量都是本地循环的,不占用对外的带宽资源,所以大家不用惊慌,kaccore.exe不占用网络带宽资源,不多花大家一分钱。
回答问题二,为什么kaccore.exe会有流量产生?
前面一段介绍我已经写的很明白了,我们认为以后在浏览器进行系统操作是一个趋势,我们的技术也应该走向互联网前端的步伐。既然是在浏览器上操作,就一定会产生一些流量,当然我们这个流量是本地循环的,不会让大家有额外的流量支出。
国庆过去了,人们对本届国庆节的关注度逐渐下降,黑客们也转向了别的目标。HEXB00T3R的战果名单里,中国网站越来越少,今天看了下,全是巴西的,估计是更换了扫描工具的扫描区间。巴西真倒霉,接下奥运后就遇到恐怖袭击,然后是这种大规模的黑客攻击……仔细看下被黑网站的域名,里面也有不少是政府网站。
不管咋样,咱们的站长都可以稍微轻松那么一点点了。
金山网盾 beta2.2 发布
金山网盾 金山互联网安全实验室出品介绍:
金山网盾是一款永久免费互联网浏览网页安全防护软件。金山网盾可在不影响你正常浏览的前提下,防范挂马网站、带毒网站、钓鱼欺诈等恶意网站,全方位解决上网中的安全隐患,产品支持所有浏览器,不卡浏览器,使浏览更顺畅,完全免费,无任何插件,是上网必备软件。
金山网盾beta2.2更新说明:(金山网盾独立版老用户将自动升级到beta2.2版)
*允许金山毒霸2009集成版用户选择安装独立版金山网盾(无需卸载毒霸)
*升级网盾恶意网址库无需重启系统生效,只需重新打开浏览器即可
*新增IE首页保护功能,让您免除被修改主页烦恼,还IE主页和谐天下(猛击我查看IE首页保护功能介绍)
产品新功能IE首页锁定界面截图:
(全文…)
在对黑客攻击的印象中,网民们大多想到的都是网站页面被更改、页面被张贴上大量充满挑衅的黑客留言。其实,这些都只不过是那些出于炫耀目的而作案的黑客的行为,真正基于经济利益的黑客行为,是非常低调的。近日,金山毒霸安全专家就发现了一种新型的“隐蔽式黑客攻击”。
隐藏在某网站源码中的广告链接,在源代码中搜索外挂、私服之类的关键词就能搜出
