分类: 未分类

网银大盗Ⅱ(Trojan/KeyLog.Dingxa)技术分析报告

“网银大盗Ⅱ”技术分析报告

  病毒名称:网银大盗Ⅱ(Trojan/KeyLog.Dingxa)
  病毒类型:木马
  病毒大小:16284字节
  传播方式:网络
  压缩方式:ASpack   2004年6月2日晚,又截获“网银大盗”新变种,该木马盗取几乎涵盖中国目前所有个人网上银行的帐号、密码、验证码等等,发送给病毒作者。此木马与4月分截获网银大盗(Trojan/PSW.HidWebmon)有异曲同工之处,但涉及银行之多,范围之广是历来最大的,不但给染毒用户造成的损失更大,更直接,也给各网上银行造成更大的安全威胁和信任危机。   具体技术特征如下:   1. 病毒运行后,盗取的网上银行涉及:
  
  银联支付网关–>执行支付
  银联支付网关:
  中国工商银行新一代网上银行
  中国工商银行网上银行:
  工商银行网上支付:
  申请牡丹信用卡
  招商银行个人银行
  招商银行一网通:
  个人网上银行
  中国建设银行网上银行
  登陆个人网上银行;;
  中国建设银行
  中国建设银行网上银行:
  交通银行网上银行
  交通银行网上银行:
  深圳发展银行帐户查询系统
  深圳发展银行|个人银行
  深圳发展银行 | 个人用户申请表
  深圳发展银行:
  民生网个人普通版
  民生银行:
  网上银行–个人普通业务
  华夏银行:
  上海银行企业网上银行
  上海银行
  首都电子商城商户管理平台
  首都电子商城商户管理
  中国在线支付网: IPAY网上支付中心
  中国在线支付网商户
  招商银行网上支付中心
  招商银行网上支付
  个人网上银行-网上支付   2. 病毒算机中创建以下文件:   %SystemDir%svch0st.exe,16284字节,病毒本身

  3. 在注册表的HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun中创建:   “svch0st.exe” = “%SystemDir%svch0st.exe”
  “taskmgr.exe” = “%SystemDir%svch0st.exe”

  4. 病毒运行后会根据IE窗口标题栏判断是否为网上银行页面,如果发现上述提到的银行后,病毒立即开始记录键盘敲击的每一个键值,记录键值包括:   AabCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz1
  !2@3#4$5%6^7&8*9(0)
  {BackSpace}
  {Tab}
  {回车}
  {Shift}
  {Ctrl}
  {Alt}
  {Pause}
  {Esc}
  {空格}
  {End}
  {Home}
  {Left}
  {Right}
  {Up}
  {Down}
  {Insert}
  {Delete}
  ;:=+,<-_.>/?`~][{|]}’
  {Del}
  {F1}
  {F2}
  {F3}
  {F4}
  {F5}
  {F6}
  {F7}
  {F8}
  {F9}
  {F10}
  {F11}
  {F12}
  {NumLock}
  {ScrollLock}
  {PrintScreen}
  {PageUp}
  {PageDown}   5. 病毒截取到键盘值后,会形成信息发到指定http://*****.com/****/get.asp。其信息如下:   http://*****.com/****/get.asp?txt=××银行:<截获的按键>   6.病毒开启3个定时器,每隔几秒钟搜索用户的IE窗口,如果发现用户正在使用上述银行的“个人网上银行”的登陆界面,则尝试记录用户键入的所有键值,然后把窃取到的信息通过get方式发送到指定的服务器。

出处:江民科技
]]>

Win2000/XP系统缺省进程

Win2000/XP系统缺省进程

在Windows 2000 和XP中,系统包含以下缺省进程:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe 下面列出更多的进程和它们的简要说明 进程名描述 smss.exeSessionManager
csrss.exe 子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe资源管理器
internat.exe托盘区的拼音图标)
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理连接到计算机的不间断电源(UPS)。
wins.exe为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
lserver.exe 注册客户端许可证。
dfssvc.exe管理分布于局域网或广域网的逻辑卷。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护护资源管理器。
faxsvc.exe帮助您发送和接收传真。
cisvc.exe 索引服务
dmadmin.exe 磁盘管理请求的系统管理服务。
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
netdde.exe提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe配置性能日志和警报。
rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe 协调用来储存不常用数据的服务和管理工具。
RsFsa.exe 管理远程储存的文件的操作。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe接收由本地或远程 SNMP 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe 从一个窗口中启动和配置辅助工具。
msiexec.exe依据 .MSI 文件中包含的命令来安装、修复以及删除软件。
]]>

“欺骗你的眼睛” — 视觉游戏

视觉游戏——“眼见不一定为实”

们会经常说“眼见为实”,但是,要知道,视觉作为最直观获取信息的渠道并不是绝对的靠。这里我推荐的就是比较有名的错觉图片。也许这样的错觉来自于图片的二维属性,但是对于最基本的视觉关注是我在这里提倡的。三维与时间对于空间的作用,相信更值得关注。


Windows Installer V 3.01 命令行参数语法

Windows (R) Installer. V 3.01.4000.1823

msiexec /Option [Optional Parameter]安装选项
 
  安装或配置产品
 /a   管理安装 – 在网络上安装产品
 /j
[/t] [/g ]
  播发产品 – m 播发到所有用户,u 播发到当前用户
 
  卸载产品
显示选项
 /quiet
  安静模式,无用户交互
 /passive
  无从参与模式 – 只显示进程栏
 /q[n|b|r|f]
  设置用户界面级别
  n – 无用户界面
  b – 基本界面
  r – 精简界面
  f – 完整界面(默认值)
 /help
  帮助信息
重新启动选项
 /norestart
  安装完成后不重新启动
 /promptrestart
  提示用户重新启动(如果必要)
 /forcerestart
  安装后总是重新启动计算机
日志选项
 /l[i|w|e|a|r|u|c|m|o|p|v|x|+|!|*]
  i – 状态消息
  w – 非致命警告
  e – 全部错误消息
  a – 操作的启动
  r – 操作特定记录
  u – 用户请求
  c – 初始界面参数
  m – 内存不足或致命退出信息
  o – 磁盘空间不足消息
  p – 终端属性
  v – 详细输出
  x …

迿忩丿仿乿?

人不帿濿被可濿,使鿽帿濿被忳翱.

翱濻濯不忬平翿,丿宿伿濐濹翿濐丿面仿忺翿夿.
翶翱母翱乿许永迿不翨忿濥,鿣濯仿们迪己翿忽翿丿种延续.
濿叿翿忳翱鿿要忬平,不追欠翿太对.
翷女翿翭恿乿许不鿿要衡鿏,翿迳不鿿要亿解,丿濶翱就伿仿忺忨鿨.
使鿣并不丿宿就濯翿翱.

可彿对濹濿确翿认为对你翿翱濐为仿们翿贿濿濶.
鿣濏忳睿仿乿?

妿濿濯翶母说,你丿宿迿亿不可忿谿翿大鿿,仿们要忿你忿渿距离.
迿濿丿个濁小翿可追濧,你不濯亲翿翿.不翶翶母濻伿濠私翿仿忺.
妿濿濯翷人说,可追仿太翱亿,使濿叿不起,濠忿忍翱亿.
翷翿说迿亿丿宿濯迿迿迿徿乿徿乿翿,鿤靿濯仿忻亿!
妿濿濯女人说,乿许只濯丿濶翯忻.使要小忿她以吿经常翯忻.
忠为女人没濿宿濧,没濿忿忿,忠为濿不濯女人.濿不翥避!
濻乿,迿句话忿鿏徿鿍.
你们伿忠为宿不忍迍洽,宿乿伿濐为忿离翿鿍要翿忿忠.

濿们该濿乿忿?
濿不翥避该濿乿忿.
偿妿迿濺伿鿽没濿,妿使弥补?
女翿鿿亿徿徿容濿弥补,迿翷翿鿿亿,徿徿迿弥补翿濺伿鿽没濿.
乿许濯中忽120:100翿翷女毿便,注宿鿠就翿.
翿翿忻年翿忽鿿谿濥,中忽女濧翿社伿忰位丿翿第亿.

迿忩丿仿乿?
你要深忻迿迿亿,迿句话濯忠为仿乿忺翰.
妿濿只濯丿濶,丿件亿,你乿濿濺伿可以弥补,你就快亿濿.
偿妿累积翿太深,濿濳弥补徿鿾亿,乿许只忩丿亿忿忿亿.

使濯记徿,妿濿迿濿丿丝帿濿鿽不要濾弿.不要说濿不吿濿.
不要对快人翿翱不忨乿,鿣样注宿忍次鿍蹿覿辿.
濿濶不要翸信迪己追否偿忰,反迿迿稿毿绿濿濴鿍要.
就忏丿学濶,濿们读迿翿奥濯翹洿夫濯忺翿濿章,
每彿忿忿徿亿翿濶忿,追夿不为迿度年卿迿濿恨,不忠碿碿濠为迿羿迻.

丿宿要偿忰濿濾经忪忿亿,濿濾经仿忺亿,就箿濿吿翿绿濿迿濯不好.
使鿣濶彿你忿馿徿亿濶,你可以鿮忿濠濧翿说:鿣濯她叿鿿亿,濿乿绿迿你濺伿!

濿忪忿忻偿亿.
妿濿绿濿仍濯让人避濾翿,濿濠话可说.
翹妿濿壁翿翳坿,翽天忨翿濥丿翿翬,濿丿忨忷漠中孤翬.忍坿硬翿忿乿伿叿濐沿砾.
濿不帿濿仿忺翿丿忿对你来说忏沿丿样濠翨.沿漠中乿追濿见丿翿绿洲,丿濿弯泿.
濿只帿濿箿箿卿卿翿翱.你说你濳翿徿箿卿,可濿不翥避你忿鿿忰庿迿忩丿亿仿乿?

Puppy B & W F

.flickr-photo { border: solid 2px #000000; }
.flickr-yourcomment { }
.flickr-frame { text-align: left; padding: 3px; }
.flickr-caption { font-size: 0.8em; margin-top: 0px; }

  

Puppy B & W F, 原始照片上传者 garethcork.
非常可爱的狗狗~~图片很清晰.
还是想养只!!
 

关于清除QQ空间人气精灵V3.5生成的isignup.dll和isignup.sys病毒文件

“QQ空间人气精灵”是TT86开发的一款免费刷QQ空间人气的软件.
本来是件很好的事,3.4版我就一直用它,可不幸的是更新的v3.5版却捆绑了恶意的盗号木马!
运行QQ空间人气精灵后,卡巴斯基(Kaspersky)提示:

被感染: 木马程序 Trojan-Dropper.Win32.Agent.wf
C:\Documents and Settings\Administrator\桌面\v3.5\QQ空间人气精灵.exe 350 KB
被感染: 木马程序 Trojan-PSW.Win32.Hangame.dz
c:\program files\internet explorer\connection wizard\isignup.dll 40.3 KB
被感染: 木马程序 Trojan-PSW.Win32.Hangame.ea
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys 54.3 KB

我在此重点只是告诉大家是为什么感染的该病毒,
至于清除方法,安装卡巴斯基(Kaspersky)的用户不用手动清除,杀毒软件会在提示几次后自动重启,重启后的文件已经不被系统再调用,可以直接删除病毒文件isignup.dll和isignup.sys,或者再扫描一遍
C:\Program Files\Internet Explorer\Connection Wizard 文件夹.
如果你不是卡巴斯基(Kaspersky)用户,建议先恢复注册表的EXE文件关联

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
“{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}”
[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}]
[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]

重启系统,然后手动删除病毒文件isignup.dll和isignup.sys.
更详细的说明可以搜索 Google 或 Baidu !!

La lsla Bonita MTV

 

漂亮的法国天后 艾莉婕(Alizee)

翻唱 麦当娜 的成名曲 La lsla Bonita

Swf,Flv Conversion by eNet bohu.net

艾莉婕(Alizee):

一个出生于法国南部柯西嘉岛海港的小女孩,年仅20岁的艾莉婕Alizee,能有让整个欧洲为之倾倒的魔力?

1984年8月21日出生于法国南部海港-阿亚丘 Ajaccio 的她在2000年参加了法国电视台 M6 新秀选拔的试镜比赛,这一试,一举惊艳了在场的法国首席女歌手 Mylene Farmer(玛莲法莫)及其御用制作人 Laurent Boutonnat 的目光,这对超级艺人/制作人组合随即与Alizee签下歌手合约,双方合作录制的处女单曲“Moi…Lolita”推出后风靡欧陆,席卷法国、西班牙、意大利、德国、俄罗斯、以色列、荷兰及波兰等8大国排行冠军宝座,单曲销量不但在法国获颁钻石唱片,包括比利时(双白金)、瑞士(金唱片)、荷兰(金唱片)及德国(金唱片)等欧陆各国都纷纷写下双白金或金唱片的纪录,这些荣耀让 Alizee 尝到走红的滋味,单曲“Moi…Lolita”同时在英国写下新纪录,成为继法国著名歌星 Vanessa Paradis(凡妮莎帕拉迪丝)后第二位打进排行榜 Top10 的法国女艺人。

La Isla Bonita

last night i dreamt of san pedro
just like i’d never gone, i knew the song
a young girl with eyes like the desert
it …