来自 应用 2021-04-13 00:11 的文章

香港高防服务器_高硅硼玻璃杯防摔吗_秒解封

游戏盾_当_诛仙高防

脸谱网0linkedin0推特0阅读时间:约6分钟。在微软宣布他们发现了一种叫做Morto的新的网络蠕虫之后,过去几天对很多人来说都很忙。在阅读了微软和我们的合作伙伴Sophos关于Morto的令人耳目一新的详尽文章后,我们惊讶地发现,早在7月23日,我们的一些客户就已经感染了——并且得到了清理——从南非的一个贫穷的schlub开始,但是这个蠕虫在上周四突然加速,开始迅速传播。但是,免费cc防御盾,尽管这些帖子中的技术细节对研究人员和分析人员很有用,但它们并没有真正触及到被感染计算机的用户会受到蠕虫病毒影响的核心内容。所以,在这几天花了一点时间感染了我自己的一些机器之后,我想和大家分享我的亲身经历。底线,这种蠕虫病毒的目的是传播到(并感染)那些不重视安全的人的电脑上:它通过试图远程桌面电脑到那些电脑上,使用一个只能被描述为完全愚蠢的密码的列表(完整的列表在微软关于蠕虫的技术文件中)复制到其他计算机上。人们(或公司)使用质量低劣、容易猜到的密码的人(或公司)已经(或将要)被Morto打屁股,然后他们会对蠕虫病毒对受感染计算机行为的改变(可逆但令人讨厌)感到恼火。Morto蠕虫(是的,我一直称它为Morbo,谢谢你的询问)是专门设计来模仿一个合法的Windows DLL的外观,也被命名为clb.dll文件. 因此,我们强烈建议您不要只搜索和删除同名文件。如果你这样做,你要么会(a)破坏某些键列列表框Windows功能,ddos国外防御比较好的,要么(b)发现自己无法删除该文件,因为Windows文件保护将继续恢复它。事实上,这两个文件的大小很接近(legit文件稍大一些),但最大的区别是legit DLL位于system32文件夹中,而不是位于c:Windows的根目录中,这是Morbto更喜欢隐藏的地方。legit DLL在属性中也有版本信息,如上面屏幕截图左侧所示(单击放大)。据报道,该蠕虫病毒是通过驱动器下载的,但我还没有看到这一点。感染后,蠕虫会捕获一个名为160.rar的有效负载-它有一个.rar扩展名,但它是一个32位可移植的可执行文件,其中有12个字节的垃圾数据预先放在PE头上。大概有一个脚本从文件中剥离出垃圾文件,使其在目标系统上可执行;我们只需在十六进制编辑器中使用yeolde Delete键(这是一个技术术语)来完成相同的任务。引起问题的最直接的行为是蠕虫将当前用户从其计算机中注销的倾向。反复。该蠕虫的安装程序在注册表中设置了几个加载点,以便从Windows启动,但几分钟后,它会让计算机(以及自身)运行,但用户已注销。老兄,这太烦人了。这种行为紧随其后的是反复尝试登录到附近的计算机,以及蠕虫每16秒左右就会下载54496字节的有效负载。下载和多次RDP登录尝试,特别是如果它们成功的话,在蠕虫试图传播(希望是反复失败)时,会给网络带来大量的蠕虫流量。我们看到蠕虫反复查找域dostest1。qfsl.net网站在DNS中,这意味着拒绝服务正是这个蠕虫的创建者想要的。也就是说,域名高防cdn,当我查找域WHOIS注册数据时,它返回了一些奇怪的结果:这些所谓的隐私服务并不是什么新鲜事。奇怪的是isprotectionservices.net似乎不存在-它从未注册过-所以这是一个伪造的WHOIS记录,看起来像是一个私人的WHOIS记录。也许下一次你能把"域名"拼对了,失败者。根据ICANN的规定,这已经足够让这个网站离线了。我也很震惊,震惊地发现,注册商江苏邦宁科技有限公司(sungjiang banking Science&Technology Co.,Ltd.)没有采取任何措施来禁用该域名。江苏邦宁科技有限公司是一家注册商,其域名超过半数被列为恶意软件来源。我有没有说过我很震惊,也很惊讶?剂量测试1。qfsl.net网站域名,由一家公司在香港托管,香港cc防御服务器,似乎脱机。是啊,我为此伤心极了。不幸的是,蠕虫并不在意,同时,即使子域脱机,域仍然是活动的。Morto使用了legit中的两个函数名CLB.DLL文件但也叫自己SvchostLoader.dll在内部,并添加ServiceHandler和ServiceMain但即便如此,它也不像蠕虫对explorershell以及与之交互的方式所做的更改那样令人恼火。例如,在我的一台测试机器上,蠕虫改变了鼠标左键的默认行为-你知道,你几乎用鼠标左键点击所有东西。当您双击桌面上或文件夹中的图标时,蠕虫不再默认为"打开"行为,而是将默认行为更改为"打开属性表"在我的例子中,宝塔cc防御防火墙参数设置,我找到了一个简单的修复方法(至少对于XP用户来说):打开鼠标控制面板,填充并清除"切换主要和次要按钮"复选框,然后单击"确定"。在我这样做之后,鼠标按钮恢复到它的正常行为-至少直到系统重新启动。但是,不要过于自大地逆转蠕虫的变化:蠕虫与浏览器外壳的挂钩似乎会导致计算机长时间不响应。蠕虫在HKLMSYSTEMWPA键配置单元下的注册表项中设置一些配置数据。这也是Windows存储一些关键信息的地方,包括用于安装Windows的CD密钥的哈希值。这不是一个好地方玩,除非你考虑到Windows本身保护注册表的那一部分并防止删除其中的任何键。存放一些你不想让任何旧的防病毒程序删除的数据的好地方。该蠕虫似乎还与受感染计算机上的.Net安装进行交互,因此在受感染的计算机上.Net将生成大量新文件和注册表项。其中的意义还不清楚;许多注册表项和文件似乎与蠕虫无关,可能只是分散注意力。我还注意到,蠕虫阻止你浏览一个你通常可以浏览的目录:脱机网页文件夹,在Windows文件夹内,是一个"神奇的"文件夹Windows显示不同于普通文件夹。我们当前的一代产品,包括WISC和WAV,以及我们即将发布的新版本(目前处于封闭测试版),都能够很容易地修复由Morto引起的感染。但我们不能让你为你的远程桌面帐户选择更强大的密码。你需要自己去做,把莫托雇佣的员工名单作为不该做的准则。关于作者博客员工Webroot博客提供专家对最新网络安全趋势的见解和分析。无论您是家庭用户还是企业用户,我们都致力于为您提供在当今网络威胁面前保持领先所需的意识和知识。脸谱网0linkedin0推特0