警惕软件钓鱼，360安全卫士磁碟机专杀工具让我中了毒！ - 病毒木马 - - 网络安全

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 病毒木马 » 警惕软件钓鱼，360安全卫士磁碟机专杀工具让我中了毒！ [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

lingling74 性别:男

新新人类

帖子 1
精华 0
无忧币 15
积分 5
阅读权限 20

注册日期 2008-3-27

最后登录 2008-3-27

离线

[查看资料] [发短消息] [Blog]

发表于:2008-3-27 21:23　　标题：警惕软件钓鱼，360安全卫士磁碟机专杀工具让我中了毒！
＜上一帖 | 下一帖＞

警惕软件钓鱼，360安全卫士磁碟机专杀工具让我中了毒！

这两天“磁碟机”病毒闹得很凶很猖狂，弄得我这两天上网也是小心翼翼的。今天360弹出了一个气泡说我中了“磁碟机”病毒，需要下载专杀工具，打开360就看到了让我下载磁碟机专杀的提示。

它奶奶的！还是中招了，二话不说赶紧下载专杀吧。下完安装时卡巴斯基主动防御拦了几下，出于信任360的原因也就一路允许下去，结果不一会硬盘灯长明电脑变的很慢，然后弹出一堆错误信息的对话框。

感觉事情不对后，我按了Ctrl+Alt+Del希望打开任务管理器，结果我发现任务管理器的按钮是灰的，连关机按钮都没有了。这时我还以为是“磁碟机”造成的问题。

没办法机器太慢，硬重启进安全模式。安全模式居然还能进，用360看了一下，发现注册表启动项里多了一个myexe的项值为D:\ Deity.exe。桌面和几个分区根目录下都有名为Killme的Bat文件，里面的内容只有一句话“赞美女神，女神的容光将照耀世界”。

用同事的机器上网一搜，发现这不是磁碟机，而是伪装成磁碟机专杀工具的一个病毒文件，中了这个病毒只需要在安全模式下，删除其注册表启动项，然后删除分区根目录下的Deity.exe文件即可。另外由于它屏蔽了任务管理器、关机按钮、及桌面右键、另外释放盗号木马，使用360即可彻底查杀恢复。

查杀完后我就研究是怎么中招的，磁碟机专杀我是从360官方下载的啊，难道360被黑了不成？进迅雷仔细看了看这个所谓专杀的下载地址：
http://www.ntyz.org/sysmanage/news/UploadFiles/2008225193156334.exe

不是在360的网站上啊，难道是360的合作伙伴。www.ntyz.org这个网站也不像啊，这样一来，不会是我中了木马修改了360的警告消息先骗取我们信任，再利用我们的麻痹心里安装木马文件吧。

我打开了360的安装目录，在我机器上是D:\Program Files\360safe。随便找了个Dat文件删除，居然就成功了，以前还真没想到用了这么久的360竟然没有自我保护功能。

在360safe文件夹下发现了2个ini，打开Links.ini一看一切豁然开朗。

Links.ini里面开头的配置是

[LINK0]
text0=您的机器已经感染“磁碟机”病毒请立即下载
blink0=false
[LINK1]
text0=360磁碟机病毒专杀工具！
blink0=false
space0=30
url1=http://www.ntyz.org/sysmanage/news/UploadFiles/2008225193156334.exe
text1=立即下载

我的360在界面上显示为：

而这个配置是可以随意修改的，如果我们把text0的值改为“100元出售灰鸽子”

看！360安全卫士卖灰鸽子了吧。由于360的配置文件没有加密再加上对自身没有任何保护，很容易被恶意软件利用实现欺骗。

360这个位置原来的内容是卖卡巴斯基的。

如果木马修改配置文件进行钓鱼攻击，制造一个假的在线支付网站，然后攻击者再真准备一些盗版免费能用的卡巴Key文件完成交易，如果真的是这样的话，用户花钱买了假正版，还神不知鬼不觉的。

百度了一下“正版卡巴被封”有19,500 多篇。都说卡巴封正版Key，这里面会不会有一些人是从360软件上被钓鱼购买了假正版？

黑客已经开始利用这种复合型的钓鱼攻击了。我们对常用软件中的提示信息通常是比较信任的，黑客直接修改软件中提示信息的做法比Web钓鱼更具欺骗性，我们不得不提高警惕。

给大伙几个建议。

一．    不要轻易相信软件的提示信息，消息需进行多方确认。
不要轻易相信360安全卫士的任何提示信息包括气泡、软件界面的文字内容等，面对此类信息一定要多方确认。如果在线购买卡巴斯基最好直接到卡巴斯基官方网站购买（看准网址www.kaspersky.com.cn）。

二．    暂时不用程序的程序，最好彻底关闭

尽量不要让没用的程序跑到右下角去，因为让它们待在哪里的话，它们不是弹气泡信息，就是搞一些损用户利己的事情。如迅雷待在右下角时就会共享用户的部分文件，偷偷的上传文件，占我们的带宽，损我们的硬盘。360安全卫士的实时监控与卡巴斯基的功能完全重复，除了占系统资源外就是一鸡肋。这些程序还有一共同特点，就是一到右下角就要弹气泡，容易被黑客用来欺骗。所以使用这些功能性的程序最好使用时再打开，使用后尽量完全关闭，减小安全风险和资源占用。

三．    浏览器换到IE7.0或Fire-fox2.0，打开反钓鱼功能
   现在的钓鱼攻击越来越多，并且走复合发展的路线。在美国2007钓鱼攻击造成的损失大约是32亿美元，在电子交易日渐发达的今天我们更要提高警惕。
    下图是一个冒充卡巴的钓鱼网站

网络工程师到底该不该去考CCIE认证？

2008-3-27 21:23

1楼

[ 顶部 ]

温暖的加
禁止访问

帖子 66
精华 0
无忧币 127
积分 67
阅读权限 0

注册日期 2007-10-21

最后登录 2008-4-12

离线

[查看资料] [发短消息]

发表于:2008-3-27 23:42　 *** 作者被禁止或删除内容自动屏蔽 ***

2008-3-27 23:42

2楼

[ 顶部 ]

s00794942
新新人类

帖子 1
精华 0
无忧币 11
积分 1
阅读权限 20

注册日期 2008-3-28

最后登录 2008-3-28

离线

[查看资料] [发短消息] [Blog]

发表于:2008-3-28 14:57　

近期，网上各大论坛散布了一篇题为“360传毒”的帖子，这篇帖子在1-2天内大量被转帖，并且回帖内容惊人的相似，对此，360安全中心申明如下
1、此贴是某些别有用心者对360安全卫士的恶意攻击和诋毁，不排除是竞争对手所为，请广大用户继续放心使用360安全卫士。
2、在短短不到二年时间内，360安全卫士帮助用户完成了对木马以及恶意软件累计几十亿的查杀，严重挤压了木马的生存空间，打击了黑色产业链。因此，许多木马开始专门针对360安全卫士进行恶意破坏。请广大用户尽快下载最新版的360安全卫士（www.360.cn ），并且开始360自我保护功能，以便于360安全卫士更好的保护您的电脑安全。
3、如果您的360安全卫士无法正常启动、运行，并且无法访问www.360.cn网站等异常情况，您的电脑很可能已经被木马入侵，请尽快下载修复工具（http://dl.pconline.com.cn/html_2/1/59/id=42935&pn=0.html ）或者添加360工作人员的QQ号328761975给予反馈。
360安全中心提醒广大用户，定期给系统打补丁，定期使用360安全卫士扫描电脑，有助于保护电脑安全。

360安全中心
www.360.cn

网络工程师到底该不该去考CCIE认证？

2008-3-28 14:57

3楼

[ 顶部 ]

yoohuu

技术员