寿宁 - 2005-11-5 12:10:00
从11月3日晚上21:00开始,我们在网络安全监控中发现出现直接指向IP-A段的流量异常,通过搜集和截取来的资料(样本)分析,发现有一个不明代码([]{}>9000 8000 6000-6002\\UDP 0201 11 45 45 22 0000 ab bbb cd a ff tt a\c ufs hsn ---++ccc00011)正在网络里扩散!
我将这个代码放到测试系统里运行后,分析出程序中很多代码都是多层加密的,采用二进制和十六进制,偏移量也很不稳定,能体现出来的只是对UDP9000、8000、6000-6002端口的出入,但这只是很小一部分的端口出入,我怀疑是采用系统补丁的编程格式,象是最新的反弹木马和间谍程序,目前我还没有发现有防火墙能够拦截,包括ZA,在网络里也没有这个不明木马资料(消息)的显示!事实表明不是一般的黑客写的,鉴于这个不明木马的核心文件名不固定,现在最好的方式是加载最新的规则包,提前预防,如果已经感染了,规则包就能够拦截,就可以通过报警,找到程序所在位置和生成的文件名,直接删除!(经测试,如果没有加载最新规则包,即使在驱动盘下的system32找到了也是删除不了的!!!)
危害: 在后门对被感染系统关键信息的传送完毕后,直接到驱动盘删除引导程序,导致系统瘫痪!
所以大家要乘着还没有大面积出现赶快预防。
目前,我已将相关情况上报有关部门!
吃猫的鱼1984 - 2005-11-5 12:13:00
哦,明白了!谢谢!
青瘦竹 - 2005-11-5 12:14:00
呵呵,期待新规则包啊。这样比较好,更能清楚的了解到更新了什么东东。
绝对有型 - 2005-11-5 12:25:00
谢谢提醒!
hellokiddy - 2005-11-5 12:32:00
一个字:好!
玉龙剑心 - 2005-11-5 13:00:00
收到了。。。。版主们辛苦了。。。。
郁闷的受害者 - 2005-11-5 13:04:00
收到。
黑衣警探 - 2005-11-5 13:17:00
谢谢,你们辛苦了
来自何处 - 2005-11-5 13:20:00
新规则已在运行.寿宁老师.网警版主放心.经查找还没有发现哪个东东.哈哈.致敬!
看来这个东东好利害,弄走了东西还要放把火!一定要小心才是.
newcenturymoon - 2005-11-5 13:40:00
谢谢啦,支持网警
63年的兔子 - 2005-11-5 14:04:00
谢谢寿宁老师,我已经更新完毕,运行中还没有发现此类问题,开发组的成员们辛苦了,谢谢你们
飓风小子 - 2005-11-5 14:11:00
如果有那文件会怎样?
爱我就跟我走 - 2005-11-5 14:14:00
谢谢,偶刚看到,马上去下`
昨天的兵 - 2005-11-5 14:26:00
谢谢,已下载!
xinyu9608 - 2005-11-5 14:31:00
已更新
老师辛苦
七彩黄花菜萱草 - 2005-11-5 16:47:00
谢谢,无以言表,非常感谢。
大肚能容 - 2005-11-5 16:58:00
收到,谢谢提醒!
毒之克星 - 2005-11-5 17:00:00
谢谢版主的提醒
jsszlfd - 2005-11-5 18:02:00
谢谢版主的提醒
taylor05771 - 2005-11-5 18:40:00
那木马还会在驱动盘下的prefetch生成两个文件,这两个文件能够独立于在system32下的核心文件fe7zf.exe运行,也就是说这个木马有多个自运行文件,隐藏地点会随机变动。
幻影北平 - 2005-11-5 19:14:00
感谢!!!
新城主力 - 2005-11-5 19:15:00
好厉害!
© 2000 - 2026 Rising Corp. Ltd.