| 引用: |
【狂刀乱舞的贴子】呵呵~~~不错,感觉我有点怕怕了,这样的话谁还用电脑呀.先支持下~~~
1、现在最好的方式是加载最新的规则包,提前预防,如果已经感染了,规则包就能够拦截,就可以通过报警,找到程序所在位置和生成的文件名,直接删除!(经测试,如果没有加载最新规则包,即使在驱动盘下的system32找到了也是删除不了的!!!) -----这句~~安全模式不给删嘛,如果真的话,那这个病毒太厉害了,非你老治不可,强!
2、目前我还没有发现有防火墙能够拦截,包括ZA,……那用他的规则就可以了嘛?
3、9000 8000 6000-6002--- 是什么端口 那qq用什么端口?看来你应该让马化腾同志换换端口了,吧那个什么8000等给换了,不然怕也怀疑了
4、目前,我已将相关情况上报有关部门!-----~~~楼主是警察来的吧,是要要向公安部上报吧,上报需要什么条件?如果照楼主说的,我看应该不低4级以上紧急预警并定位病毒吧,那干净让张健叫人处理去.
^^^^^^^
........................... |
我用最通俗的语言来回答:
1、加载规则包后,防火墙一方面可以通过阻拦报警信息给用户提供相关文件(核心程序)的文件名,这个文件(核心程序)的真正名字是fe7zf.exe,但由于它是个带有间谍功能的反弹性木马,文件(核心程序)比较隐蔽且会随机生成其他名字(比如winlogon.exe或winffz7n.exe等等),因此只要防火墙通过阻拦报警信息就可以找到!另一方面,这个木马除了监听TCP\UDP80端口外,还能够随机选找系统没有关闭的端口,甚至借道TCP8000端口执行出入运行指令!经过样本测试分析,这个时候该木马会以正常文件名(程序名)出现在防火墙的报警信息中,以迷惑用户,比如:winlogon.exe这个程序本来是正常的程序,但如果fe7zf.exe借助这个名字出现时,就容易引起新手不知道如何取舍!第三、尽管这个木马文件名(核心文件名)不固定,但它在防火墙报警中显示出来的公司名都是数字(比如:2.02***)或干脆就没有公司名,这样就可以通过公司名来进一步确定是不是伪装的fe7zf.exe了。第四、这个木马带有系统底层执行指令001\1111\0000;;{{UDP\TCP=ab45;;00040001,最新规则包内置有阻止这个指令的特征判别码,因此如果没有加载这个规则包,防火墙就不能切断这个木马直接指向系统底层的执行指令,系统底层的接管数据就会被fe7zf.exe共享接管,这个时候不仅删除不了fe7zf.exe(在安全模式下删除后,一旦重新回到正常模式还会重新生成另外一个伪名,继续运行!),而且如果用第三方软件硬性删除后极易在电脑重新启动后造成系统崩溃!第五,尽管不加载最新规则包,在DOS里也可以安全删除,但由于上面所讲的第三方面的原因,容易造成误删!
2、至于我的身份,对不起,我不会告诉你的,等你成了著名的、严重危害网络安全的黑客的那一天,也许你就可以见到我了,那时候你已经是我手中的罪犯---呵呵。
状态: