******
无理由退货
我浏览过的
您现在的位置：&
一分钟找出病毒文件的方法
一分钟找出病毒文件的方法
大家都在使用杀毒软件，但是杀毒软件存在误杀，特别是对一些破解的软件，其中PCB设计软件在内，杀了之后软件打不开，怎么办呢，下文教大家一些鉴别病毒文件的方法。
&一、文件时间
&&如果你觉得电脑不对劲，用杀毒软件检查后，没什么反映或清除一部分病毒后还是觉得不对劲，可以根据文件时间检查可疑对象。
&文件时间分为创建时间、修改时间(还有一个访问时间，不用管)，可以从文件的属性中看到，点选文件，右击，选择菜单中的属性就可以在“常规”那页看到这些时间了。
&通常病毒、木马文件的创建时间和修改时间都比较新，如果你发现的早，基本就是近几日或当天。c:/windows和c:/windows/system32，有时还有c:/windows/system32/drivers，如果是2000系统，就把上面的windows改成winnt，这些地方都是病毒木马常呆的地方，按时间排下序(查看-详细资料，再点下标题栏上的“修改时间”)，查看下最新几日的文件，特别注意exe 和dll 文件，有时还有dat、ini、cfg文件，不过后面这些正常的文件也有比较新的修改时间，不能确认就先放一边，重点找exe和dll，反正后三个也不是执行文件。一般来说系统文件特别是exe和dll)不会有如此新的修改时间。
&当然更新或***的其它应用软件可能会有新的修改时间，可以再对照下创建时间，另外自己什么时间有没装过什么软件应该知道，实在不知道用搜索功能，在全硬盘上找找相关时间有没建立什么文件夹，看看是
&不是***的应用软件，只要时间对得上就是正常的。如果都不符合，就是病毒了，删除。
&&说明一点，正如不是所有最新的文件都是病毒一样，也不是说所有病毒的时间都是最新的，有的病毒文件的日期时间甚至会显示是几年前。当然我们还有其他的分辨方法。
&二、文件名
&&文件名是第一眼印象，通过文件名来初步判断是否可疑是最直接的方法，之所以放在时间判断后面，实在是从一大堆文件中分拣可疑分子太难了，还是用时间排下序方便些。
更多猛料！欢迎扫描下方二维码关注土猫网官方微信( tumaowang )
¥&315元
¥&28.2元
¥&320元
¥&127元
节省25.4元
¥&159元
节省31.8元
¥&299元
节省59.8元
¥&35.3元
节省15.7元
¥&449元
节省89.8元
¥&6.9元
¥&318元
节省63.6元
¥&239元
节省47.8元
¥&38元当前位置&&&&&&&&&木马基础:不可见窗体和隐藏文件
更多文章查询：&
木马基础:不可见窗体和隐藏文件
&&&&&&&日11：25&&来源：&&作者:佚名&&
【文章摘要】以前，我曾认为只要不随便运行网友发来的文件就不会中病毒或木马，但后来出现了利用漏洞传播的冲击波、震荡波;以前，我曾认为不上小网站就不会中网页木马，但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。从此，我知道:安全，从来没有绝对的。
　　以前，我曾认为只要不随便运行网友发来的文件就不会中病毒或木马，但后来出现了利用漏洞传播的冲击波、震荡波;以前，我曾认为不上小网站就不会中网页木马，但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。从此，我知道:安全，从来没有绝对的。　　虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。那么，木马究竟是如何躲在我们的系统中的呢?　　最基本的隐藏:不可见窗体+隐藏文件　　木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种:　　1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。　　2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。　　其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马(见图1)，于是便出现了下面要介绍的“进程隐藏”技术。　　第一代进程隐藏技术:Windows 98的后门　　在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。　　要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形!中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术，就没有这么简单对付了。　　第二代进程隐藏技术:进程插入　　在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。
责任编辑：杨山山
&关于&木马 不可见窗体&相关报道
&硅谷动力最新热点
loading...
频道热文排行
经典软件下载
往期精彩文章
网站合作、内容监督、商务咨询、投诉建议：010-
Copyright © 2000--
硅谷动力公司版权所有 京ICP证000088号***是，能&br&XcodeGhost事件本来就是苹果自己种下的恶果&br&首先，VS官网（不是MSDN）本来就提供了官方的VS iso下载，而且还附带了MD5验证，直接下就好了，速度超快&br&其次，VS需要***大量系统组件，同时破解难度为0，就算以前没有社区版的时候也不需要破解（旗舰版Key到处都是），所以完全没有各种“绿色版”“破解版”的生存空间，大家总会倾向于下载官方镜像&br&最重要的是，不同于Xcode那与裸奔无异的app包，VS使用的WindowsInstaller***器，不管是***程序还是整个***包全都进行了数字签名，如果有人想给***包塞私货的话***器会直接报错，而如果修改***器的话因为没有签名，UAC会直接报警（弹出***警告框，并且提示“未知身份的开发者”，正常的提示框是蓝色并且显示为Microsoft发布），&b&&u&如果你非要假定用户都是关UAC的傻逼，那你直接做个木马多好，何必非要折腾IDE呢？&/u&&/b&&br&归根结底，XcodeGhost事件发生的根本原因在于苹果为了强行推广MacAppStore，非要把原本应该独立分发的Xcode塞进商店，不提供任何官方的dmg包下载与验证方式（苹果开发者官网并没有提供MD5之类的验证方式），而OS X本身没有任何简单直观的DMG包完整性验证机制----苹果自己提供的验证方式还是太繁琐，而且只能验证一个已经***的Xcode，不能对包本身进行验证。这个问题只可能发生在OS X下----事实上目前除了Xcode之外，中毒的Unity也是OS X版。像Xcode这种开发工具，用MAS分发，说白了其实就是强行装逼的体现----商店上下载的Xcode在第一次运行的时候一样需要系统权限来***各种开发工具，根本不可能全程跑在沙盒里。&br&&a href=&///?target=https%3A///news/%3Fid%3Da& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Validating Your Version of Xcode&i class=&icon-external&&&/i&&/a&&br&&br&PS：评论区补充了Xcode的官网下载链接----但这个链接极其难找，在&a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&首页上都看不到，首页上给你的仍然只有7.1beta的地址和Xcode7跳转到AppStore的地址（相比之下VisualStudio所有版本的地址直接就在官网上，并且都提供了在线***和iso两种方式，以及MD5）----而且仍然没有提供MD5验证。
***是，能 XcodeGhost事件本来就是苹果自己种下的恶果 首先，VS官网（不是MSDN）本来就提供了官方的VS iso下载，而且还附带了MD5验证，直接下就好了，速度超快 其次，VS需要***大量系统组件，同时破解难度为0，就算以前没有社区版的时候也不需要破解（旗…
一个好的企业能够存活下来，靠的是市场、实力，战略和好的领导及员工。瑞星就如同华山派一样，确实风光过，可惜后来市场不看好他们，自己实力又跟不上，战略上种种的失误，尤其是有岳不群这样的领导再加上集团内部有些早已把钱捞足了现在浑水摸鱼的元老们，瑞星现已完全转型成流氓软件，并且转型十分成功。(如今后台依旧很硬，跟xx关系够好才没有关门大吉)。跟瑞星同命运的还有卡巴斯基、金山，江民一类的杀软。&br&&br&我很乐意为这个问题写点我知道的东西。&br&&br&&br&正文：&br&&br&&br&&b&1998年&/b&，&b&word宏病毒在国内肆虐&/b&，它是感染WORD文档和模板的恶性病毒。其代表病毒“无政府一号”每月一号发作，会删除C盘所有文件，破坏性极大。（有兴趣可以搜索一下），如何查杀宏病毒成为我国反病毒领域面临的首要问题。&b&同年4月&/b&瑞星上市，也成为国内第一个清除宏病毒的杀软。&b&12&/b&月瑞星被授予国家重点新产品称号，并且被列入九八国家级火炬项目。&b&这一年可以说是瑞星的发迹年。&/b&&br&&b&1999年4月&/b&，&b&CIH病毒首次在全球大爆发&/b&，瑞星全体在总工刘旭的带领下，又成为国内第一个解决CIH病毒的杀软，时任总裁的王新只好在种种内部压力下退位让贤，刘旭自此成为瑞星总裁。&br&可以说是刘旭一手缔造了瑞星，刘旭的任职期便是瑞星的巅峰期，瑞星的内部员工私底下都把这时期叫做“刘旭时代”。&br&&b&2003年&/b&，&b&也是瑞星最巅峰的一年&/b&，同时也是刘旭被下课的那年。（那一年在国内用电脑的人没有不知道瑞星的，瑞星在国内市场的占有率一度达到了60%。）王新再次职掌瑞星，（对这段缘由有兴趣的欢迎私我八卦一下）之后瑞星开始走下坡路。&br&&b&2005年，微点事件&/b&&b&。&/b&瑞星公司贿赂北京市公安局网监处处长于兵通过假报案、假损失、假鉴定的手法陷害竞争对手。这个对手就是由原总裁刘旭创立的东方微点公司，导致微点公司名誉扫地，公司内高管田亚奎被非法关押11个月。后来在微点公司通过艰难的维权之路，2008年7月，北京市纪委才开始调查于兵的受贿案。并于9月和10月分别抓获于兵和瑞星副总裁赵四章及其同伙。（后话）&br&&b&2006年，卡巴斯基在市场上大举发力&/b&，抢夺了瑞星的大批市场。原因是因为卡巴斯基营销做的很好。各大电台，街道，商场满是他们的广告，最重要的是卡巴斯基返给卖家的回扣很高。不管你是谁，只要你卖出去一套，你就能拿十元到二十元的回扣。而瑞星只有经销商才会有回扣可拿。当年，全国各大电脑城杀毒软件基本被卡巴基斯占领，因为人家利润?，而且广告打的好，号称拥有全球最尖端的杀毒技术（啧啧啧）。这个时候的瑞星依然我行我素，活在梦里，靠着老用户支持和国家采购赚的钱做着走向世界的梦。这一年是瑞星快速走下坡路的一年。&br&&b&2007年&/b&瑞星发现市场被人大量抢占时，机智的卡巴斯基已经打出了名号和口碑，瑞星已经无力回天。&br&&b&2008年&/b&，&b&360打着免费内的旗号进军杀软市场，&/b&靠着捆绑及营销策略，迅速抢占了收费杀软的市场。包括前文所提到的08年瑞星贿赂门的曝光，瑞星口碑也已经跌倒谷底。名利双失。&br&&b&2009年，其他免费杀软进入市场&/b&，收费杀软失去了市场的竞争力。这一年不仅仅是瑞星要不行了，几个老牌的杀软公司要也不行了。&br&&b&2010年，3Q大战&/b&，360坚强的活了下来，可是瑞星要活不下去了。&br&&b&2011年3月&/b&，瑞星宣布旗下所有个人杀毒软件将永久免费，同时也标志这瑞星这个曾经的杀软帝国坍塌。&br&&br&10多年来，瑞星从曾经的杀软一哥走到现在的流氓软件，各种原因最大的就是自身的不求进取，缺乏对行业主动探索的精神（喜欢抄袭别人就能看出来）。我以上的原因只能说是侧面加快了它灭亡的速度而已。&br&&br&&br&&br&&br&&br&&br&互联网企业和产品更迭速度太快，能存活最久的并不全是产品最好，技术最好，资金最足的企业。而是那些机制最灵活的企业。&br&&br&&br&非常遗憾，瑞星并不是这样的企业。
一个好的企业能够存活下来，靠的是市场、实力，战略和好的领导及员工。瑞星就如同华山派一样，确实风光过，可惜后来市场不看好他们，自己实力又跟不上，战略上种种的失误，尤其是有岳不群这样的领导再加上集团内部有些早已把钱捞足了现在浑水摸鱼的元老们，…
&p&既然题目相似，我就把回答再发一次：&/p&&br&&br&&p&这件事我了解的不多，但是一直有一些疑虑。如果不符合主流价值观，求轻黑。&/p&&br&&p&网易云音乐、滴滴、高德等产品此次确实有疏漏，对开发工具的校验不够严格，导致被黑。但是，凭良心讲，这次网易云显然被黑得有点过了。这些应用当然逃避不了责任，但是更该被黑的难道不是木马开发者和你国的墙吗？而且，我同样不太理解的是，这分明是一桩集体事件，但最后舆论却都一致地把靶子单单对向网易云音乐，到底为什么？&/p&&br&&p&先和大家梳理一下这个事情：&/p&&br&&p&1、 这个事件的起因：因为使用第三方下载工具，三百多款应用被注入Xcode第三方恶意代码。而为什么国内这么多主流应用都使用这个不够安全的第三方工具下载？第一，怪那个脑子有洞的木马开发者；第二，怪有些公司安全意识不够；第三，怪你国的墙，让苹果app store下载速度慢成那个鬼德行。请别说什么那是因为谁谁公司网络差这种鬼话了，你们想想看自己平时上app store有几次能很顺利打开的？至少我每次都慢得想翻白眼。&/p&&br&&p&2、 这个事件影响的应用：按央视报道，一共有350余款app都被感染，这里列出大家熟知的一部分：微信、滴滴打车、12306、高德地图、联通、中信、简书、下厨房、南航、愤怒的小鸟2、网易云音乐等。这些应用全部都感染了木马，应用范围涉及互联网、金融、铁路航空、游戏等领域。也就是说，网易云音乐只是1/350。&/p&&br&&p&3、 这个木马程序有什么影响：用户使用被植入XcodeGhost恶意代码的app后，app会自动向病毒制造者的服务器上传诸如手机型号、系统版本、应用名称、应用使用时间、系统语言等信息。也即,泄露的大多是产品数据。疑似木马制造者也发声明，称这只是一次试验，没有造成后果。而且，从目前已有病毒样本的分析看，这些泄露信息确实并不涉及太多的隐私问题，可信度还是比较高。也就是说，这个木马的影响的确不太好，但也没有坏到不可收拾。（再插句话，从个人观感来看，在云音乐的用户隐私泄露方面其实我并不太担心，因为网易系应用请求的权限一直都很有节制）&/p&&br&&br&&p&大致了解后，我们来分析为什么明明是个集体事件，但是网易云音乐却被黑得最惨，甚至是唯一被黑的？&/p&&br&&p&1、 是只有网易云音乐感染木马吗？显然不是，大家都看到了被感染名单，一共有三百来个应用被感染。&/p&&p&2、 是事情发生后网易云音乐处理得太慢吗？还是网易云音乐对用户的担忧和知情权太不上心吗？&/p&&p&显然也不是，第一家向用户发出公告的是网易云音乐，发出公告后网易云又第一时间提交了安全的app store新版本。而现实是，其它大多数被感染的应用里，大部分到现在都在装死。这里面还包括似乎不受木马事件半点影响的著名应用----微信。微信的6.2.5版 本身也是感染的，只不过他们不告诉用户自己闷声就改掉了。&/p&&p&3、 那么，是网易云音乐使用了黑苹果吗? 据我打听到的，应该也没有。（不知道外界为什么这么传。）&/p&&p&4、 那么，为什么单单网易云音乐被当成了靶子？是因为用户量大、泄露信息可能更大吗？显然更不是。一样被感染的滴滴的用户量和使用频率一定比网易云音乐更高吧， 从产品形态上因为涉及支付，引起的恐慌不也应该更大吗？但是却很少有人去黑滴滴。为什么？我猜测原因有两个：&/p&&br&&p&第一，乌云网稿件中首次爆出的时候就单单从受感染的一大波应用中拎出了云音乐，而当时乌云网知道的应用就不止有一个，包括后来许多新闻稿中很多也都只拎出了云音乐。用小人一点的思路去猜测，乌云网以及部分科技网站的稿件发出前已经被相关产品“公关”过，比如删掉了自身产品应用，或者故意拎出网易云音乐作为靶子。否则不管是用户量、知名度、敏感度等各方面，网易云音乐都一定不是排在第一的那个。第二，大家再仔细去看看网易云音乐这次两个公告下的评论（公告一：&a href=&///?target=http%3A////CB6Zgq2oA%3Ffrom%3Dpage_0997_profile%26wvr%3D6%26mod%3Dweibotime& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&公告。 来自网易云音乐&i class=&icon-external&&&/i&&/a& ；公告二：&a href=&///?target=http%3A////CBo2evhZC%3Ffrom%3Dpage_0997_profile%26wvr%3D6%26mod%3Dweibotime& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&网易云音乐新版本已在App Store上线，修复X... 来自网易云音乐&i class=&icon-external&&&/i&&/a&），可以发现：第一个公告评论下几乎是一面倒的猛喷、嘲讽，简直要黑出翔了。第二个公告评论下的主流舆论却又变得温馨有爱、还各种赞赏是良心软件。放正常人眼里，谁都会觉得这些用户脑子有洞吧，才短短几天这态度变化之大也太分裂了。&/p&&br&&p&可以解释这个事情的原因，我只能想到一个，那就是：有水军啊旁友们！理性地想，这些评论太不像网易云的用户了，画风完全不对啊。网易云音乐的用户口碑好，这已经是公认的事了。甚至连知乎都一度因为云音乐口碑一面倒而被怀疑过有水军。所以，我只能猜测出这个结论：有人在借这个事情搞网易云音乐。这让网易云音乐从1/350被黑的概率，一下子概率max，成了众矢之的。是不是这个道理？（当然你非要说，谁让网易云用第三方工具下载，被搞也是咎由自取，那我没话说。）&/p&&br&&p&只是一个想法，不一定对。&/p&
既然题目相似，我就把回答再发一次： 这件事我了解的不多，但是一直有一些疑虑。如果不符合主流价值观，求轻黑。 网易云音乐、滴滴、高德等产品此次确实有疏漏，对开发工具的校验不够严格，导致被黑。但是，凭良心讲，这次网易云显然被黑得有点过了。这些应…
回应一下以下评论里说我不懂域名注册的知友们…… 未注册的域名，当然不会无端涨价，但稍有商业价值的域名，大都早早被职业炒家收走了，轮不到普通人自己去注册，找他们那里买的时候，价格就跟意义有关了。可能我不该用 “注册” 这个词……&br&&br&不过，我确实太高估了 &a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& 这种看起来像苹果官方的域名的价值，感谢 &a data-title=&@BenMQ& data-editable=&true& class=&member_mention& href=&///people/489e1be7ef5a11ad5f17aaa7dc144741& data-hash=&489e1be7ef5a11ad5f17aaa7dc144741& data-hovercard=&p$b$489e1be7ef5a11ad5f17aaa7dc144741&&@BenMQ&/a& 指正。&br&&br&以下是原***。&br&--------------------&br&&br&纯粹瞎扯。&br&&br&&br&攻击者使用的域名是 &a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&，这种带知名产品名字、意义清晰、好记的域名，价格必然很贵。如果是我，随手做一个实验，可能直接用 IP 了，就算注册域名，肯定也是 &a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& 这种别人看不懂也记不住的域名，便宜啊。&br&&br&既然他愿意花大价钱去注册 &a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&，自然是希望别人即使注意到那个额外的请求了也会误以为苹果的行为。&br&&br&而且，这个域名用 whois 查不到注册者的身份，说明至少是具有一定经验的攻击者。&br&&br&&br&退一万步说，就算是真的，一边说别人说的都是 “谣言”，一边 “真诚地致歉”，这分裂得也是可以。&br&&br&&br&退一万步说，就算是真的，行为违法了还是违法了，不是因为动机就可以免责的。
回应一下以下评论里说我不懂域名注册的知友们…… 未注册的域名，当然不会无端涨价，但稍有商业价值的域名，大都早早被职业炒家收走了，轮不到普通人自己去注册，找他们那里买的时候，价格就跟意义有关了。可能我不该用 “注册” 这个词…… 不过，我确实太…
不知这个食鼠猫的名字是怎么个来历，这个病毒应该说挺有意思，作者很费心思做了个流氓推广的软件。&br&&br&毒霸安全中心的分析师给了一个超详细的分析报告，可以说，这个病毒的分析揭示了中国大陆畸形的互联网产业。这个病毒只是做流氓推广的一种，通过这个病毒样本的分析，能帮助理解，为什么中国网民备受流氓软件欺凌。&br&&br&报告全文删减部分细节之后内容如下：&br&&br&&b&
“食鼠猫”病毒分析及背后的流氓推广灰色产业链&/b&&br&&br&&br&“食鼠猫”病毒主要通过虚假***播放器等流氓软件的捆绑***进行传播，病毒行为包括：&br&&ol&&li&被强制***多款推广软件；&br&&/li&&li&篡改浏览器快捷方式、Hosts文件等方式劫持导航网站流量；&br&&/li&&li&导入根***伪造数字签名逃避杀毒软件查杀与防御；&br&&/li&&li&尝试使用网络过滤驱动屏蔽杀毒软件的升级与云查杀。&br&&/li&&/ol&&b&[一]：病毒样本行为分析&/b&&br&&img src=&/b39e1bb8bf9a525a8cb96_b.jpg& data-rawwidth=&922& data-rawheight=&615& class=&origin_image zh-lightbox-thumb& width=&922& data-original=&/b39e1bb8bf9a525a8cb96_r.jpg&&&br&
图1“食鼠猫”病毒运行流程简图&br&&br&“食鼠猫”病毒捆绑在一款名为“好爱FM收音机”的流氓软件中，主要通过一些***站点和下载站点的诱导虚假下载链接进行传播。样本使用delphi语言编写，作者还是个delphi新手（下文会描述）。新手归新手，这个病毒的功能设计，仍然相当复杂。病毒经过多达十来个模块分别下载、协同完成流氓推广任务。&br&&br&通过多层Loader模块的解密与内存加载执行，下载运行最终功能模块，样本分析同样按Loader层和功能模块层分为两大部分。&br&&br&&b&一、Loader层分析&/b&&br&1.静默***“爱好FM收音机”流氓软件，然后解密病毒模块A，直接在内存中加载运行。&br&2.模块A访问&a href=&///?target=http%3A//jsion./favicon.ico& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&jsion./favicon&/span&&span class=&invisible&&.ico&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&，读取解析其中隐藏的下载链接并解密，然后访问此链接下载模块B，解密后再次内存装载运行。&br&3.模块B的主要功能包括病毒运行环境检测、流量渠道标记保存、后续恶意模块释放以及***统计数据发送等：&br&&ul&&li&病毒运行环境检测：主要是为了对抗病毒分析检测。使用的手法也比较常规，包括简单的反调试、特权指令反虚拟机、遍历检测系统窗口是否存在安全工具以及是否存在网吧管理程序进程等。检测到这些环境，病毒就不运行。&br&&/li&&li&保存推广渠道流量标记信息到注册表，方便后续模块根据流量ID读取对应的配置信息。&br&&/li&&li&释放资源中包含的MSI程序包(模块C)到临时目录(~DFAN9FP.tmp)，调用msiexec.exe以静默参数解析***。&br&&/li&&li&获取主机的MAC地址、系统版本以及***包路径，加密后发送到远程服务器。&br&&/li&&/ul&4.模块C实际为msi格式的***包程序，使用rootsupd.exe工具导入根***，为加入恶意代码的IDriverT.exe伪造数字签名，企图逃避安全软件的查杀与防御。&br&&img src=&/31cd71cabad3d836eae221e_b.jpg& data-rawwidth=&671& data-rawheight=&221& class=&origin_image zh-lightbox-thumb& width=&671& data-original=&/31cd71cabad3d836eae221e_r.jpg&&&br&
图2 病毒伪造数字签名进行欺骗&br&&br&&b&MSI包文件列表：&/b&&br&&ul&&li&
IDriverT.exe：作者修改某款delphi程序源码(个人电脑助手v1.3)，在其中添加了恶意代码后重新编译。&br&&/li&&li&
RCImage.skn：IDriverT.exe的依赖模块，实际为VMProtect的SDK动态库文件。&br&&/li&&li&
~DFDE9FD.tmp：实际为rootsupd.exe，用于更新系统根***列表的命令行工具。&br&&/li&&li&
~DFCCBFE.tmp：根***文件，伪造Symantec Corporation签名。&br&&/li&&/ul&&br&5.IDriverT.exe在正常程序的基础上添加恶意代码后重新编译，运行以后解密模块D，继续内存加载运行。&br&&br&6.模块D访问远程服务器下载&a href=&///?target=http%3A///data/_Config.dat& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/data/_Con&/span&&span class=&invisible&&fig.dat&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&（模块E），解密后继续在内存中直接加载运行。&br&&br&7.模块E同样将如下格式信息加密后发送到另一***统计后台服务器，可以看到此次的病毒变种版本为v1.6.1；然后与模块B一样再次对病毒运行环境进行检测；最后检测&_lost_downfile_mod_&互斥事件是否存在，如果存在则发送另外一条***统计信息后退出，不存在则进入后续模块下载的逻辑分支。&br&&br&8.模块E后续下载逻辑分支：发送***统计数据包，返回数据为渠道的***位置量，如果小于100则十分钟后退出进程，否则开始下载白文件DumpUper.exe和恶意模块F到临时目录，读取恶意模块F解密后注入到白文件进程中运行。&br&&br&9.模块F首先检查“_Lost_Jump_Mod_1”互斥事件是否只存在，存在则退出进程；如果进程参数为”0”或“1”则将模块F重新注入自身白进程，命令参数为”2”;如进程参数为“2”则删除模块F文件，下载模块G注入自身进程继续运行，启动参数为渠道标识信息。&br&&br&10.模块G读取服务器配置信息，开始下载真正的工作模块。模块G取命令行参数解密获得渠道标记，开启定时器访问&a href=&///?target=http%3A//%3A8080/GetLog.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&:8080/GetLog&/span&&span class=&invisible&&.html&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&获取配置信息，根据自身渠道标记去读取对应的配置信息，二次解密后再进行格式化解析，下载链接信息，开启线程下载执行各模块。&br&&ul&&li&访问&a href=&///?target=http%3A//%3A8080/GetLog.html& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&:8080/GetLog&/span&&span class=&invisible&&.html&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&获取配置信息，共26条有效数据，可以推测出此变种目前最少有26个流量渠道进行推广：&br&&/li&&li&获取上面的配置信息后，模块G根据自身的渠道ID读取对应的条目，进行两层解密，然后进行格式化解析。&br&&/li&&li&模块G接着开启线程按照格式化后的数据进行下载***，本例中推广软件***包为百度杀毒、百度卫士以及UC浏览器，下载***包到配置信息中的指定目录；以及自身工作模块，其中12.jpg为推广包***模块，4.jpg为浏览器快捷方式篡改模块，8.jpg为hosts文件劫持模块，test.exe为网络驱动对抗模块，以上[self]类工作模块下载完成后通过白文件DumpUper.exe进程注入启动。&br&&/li&&/ul&&br&&b&主要工作模块功能列表：&/b&&br&&a href=&///?target=http%3A///data/test.exe& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/data/test&/span&&span class=&invisible&&.exe&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& [网络驱动对抗模块]&br&&a href=&///?target=http%3A///data/3.gif& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/data/3.gi&/span&&span class=&invisible&&f&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& [链接失效]&br&&a href=&///?target=http%3A///data/12.jpg& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/data/12.j&/span&&span class=&invisible&&pg&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& [推广包***模块]&br&&a href=&///?target=http%3A///data/4.jpg& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/data/4.jp&/span&&span class=&invisible&&g&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& [浏览器快捷方式篡改模块]&br&&a href=&///?target=http%3A///data/8.jpg& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/data/8.jp&/span&&span class=&invisible&&g&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a& [hosts文件劫持导航模块]&br&&br&&b&二、功能模块层分析&/b&&br&1、网络驱动对抗模块&br&&img src=&/8c49f5e8b4d7730faedc02c_b.jpg& data-rawwidth=&872& data-rawheight=&556& class=&origin_image zh-lightbox-thumb& width=&872& data-original=&/8c49f5e8b4d7730faedc02c_r.jpg&&&br&
图3 网络过滤驱动对抗模块流程简图&br&&br&本模块主要尝试加载驱动来屏蔽主流杀毒软件进程访问网络，屏蔽杀毒软件升级逃避云查杀。&br&&br&2、推广包***模块&br&本模块主要负责前面下载的推广软件包的***，根据下载模块传递的命令行参数进行***，参数分别为***目录环境变量、推广包名、***后进程名称。&br&1）首先检测是否存在常见的网吧管理程序进程，存在则不进行***。&br&2）检查指定目录下的推广包是否存在，如果存在判断相应进程名是否存在，防止重复***。&br&3）解密DmpUper.exe(360杀毒白文件)作为宿主傀儡进程，将***包程序注入其中运行，循环继续下一个***包的***。&br&4）统计***成功结果数量，如果***失败，就获取当前系统环境信息上传到远程FTP服务器，信息内容主要包括系统信息、活动窗口程序、系统进程列表以及桌面截图等。&br&5）发送***统计信息到远程服务器。&b&（***量计数，找发行商对帐分钱用。）&/b&&br&&br&3、浏览器快捷方式篡改模块&br&本模块主要通过修改浏览器快捷方式的属性实现篡改主页功能。&br&&br&4、hosts文件劫持导航模块&br&本模块主要通过修改hosts文件劫持域名解析，将hao123等常见导航网站引导到自己的服务器上，通过自己导航站点的广告推广赚取利润。&br&导航网站劫持列表：&br&&a href=&///?target=http%3A//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/&i class=&icon-external&&&/i&&/a& /
/ &a href=&///?target=http%3A//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& / &a href=&///?target=http%3A//123.duba.net& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&123.duba.net&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& / &a href=&///?target=http%3A//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/&i class=&icon-external&&&/i&&/a&&br&&a href=&///?target=http%3A//& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a& / &a href=&///?target=http%3A//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/&i class=&icon-external&&&/i&&/a& / &a href=&///?target=http%3A//www.256.cc& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&http://www.256.cc/&i class=&icon-external&&&/i&&/a& / &a href=&///?target=http%3A//& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&/&i class=&icon-external&&&/i&&/a&&br&&br&&b&通过上述的分析可以看出，“食鼠猫”病毒所使用的对抗技术手段并不是特别高深，但是另一方面又具有一定的代表性，体现在以下几个部分：&/b&&br&&ol&&li&样本loader部分使用多层的模块内存加载。loader进行解密再内存加载配合“白加黑”技术，已经成为对抗杀毒查杀的常见手法，部分情况下可以绕过杀毒查杀拦截。&br&&/li&&li&修改正常软件源码添加恶意代码后重新编译。在大量的正常代码中混合一小段的loader代码，对杀毒引擎的鉴别能力和人工病毒分析都提出了更高的要求。&br&&/li&&li&在系统中导入根***伪造正常签名。可以绕过部分对文件数字签名验证逻辑不够严谨的安全软件。&br&&/li&&/ol&&br&&b&[二]：样本追踪溯源&/b&&br&&img src=&/e62bd6bba8e_b.jpg& data-rawwidth=&757& data-rawheight=&439& class=&origin_image zh-lightbox-thumb& width=&757& data-original=&/e62bd6bba8e_r.jpg&&&br&
图4 “食鼠猫”样本溯源简图&br&&br&每一个热点病毒的传播过程都并非孤立事件，从样本编写、传播渠道、牟利方式以及到最终的受害用户，各个环节往往都是紧密关联的，“食鼠猫”病毒同样如此，通过对样本暴漏的信息以及安全统计数据的分析，尝试对“食鼠猫”病毒进行样本溯源，追踪病毒传播链条的幕后黑手。&br&&br&1）、通过对病毒关联域名的历史解析数据分析，可以此流氓软件的推广从2014年初开始，变种文件最少在30个以上。&br&&br&本次新变种从2014年8月份左右开始传播，大多通过诱导站点的流氓软件捆绑传播，涉及到的推广渠道多达数十个。本次变种使用的推广域名与服务器在编写分析报告时已经关闭，病毒作者可能更换了新的下载域名和渠道，后续传播情况有待进一步的监控。&br&&img src=&/16dc7fcdb2da_b.jpg& data-rawwidth=&865& data-rawheight=&631& class=&origin_image zh-lightbox-thumb& width=&865& data-original=&/16dc7fcdb2da_r.jpg&&&br&
图5 传播渠道域名关系简图(部分数据)&br&2）部分病毒作者经常使用邮箱、FTP服务器等方式上传信息，导致帐号密码信息泄漏。“食鼠猫”样本尝试上传到FTP服务器上的信息主要包括两类：***失败和对抗监控，主要内容为系统环境信息和桌面截图，上传帐号密码、服务器IP等信息，暴露在病毒代码中。&br&&br&(1)、信息上传按日期创建目录，从8月11日到8月23日，这也说明本次新变种从近期开始传播；上传信息主要为系统环境和桌面截图，从部分感染用户当时的系统环境分析看，主要是被诱导***了一些虚假***播放器（例如优播视频等流氓软件），这些软件往往也捆绑***了其他的的流氓病毒，在“刚需”的作用下不少用户面对杀毒拦截选择了放行。&br&&br&(2)、用户在访问一些安全软件论坛时也会触发上传策略，其中大多为用户中招以后无法升级杀毒软件，访问论坛进行求助。&br&&br&(3)、病毒作者在测试样本的时候也上传了一些调试信息，包括系统信息、代码截图等。可以发现一个有趣的细节，作者当时正在浏览一篇网页“DELPHI中MessageBox的用法”,从这个细节中我们可以看出作者可能是个delphi编程的初学者。&br&&img src=&/77e47fc24bae502d9d8d_b.jpg& data-rawwidth=&854& data-rawheight=&577& class=&origin_image zh-lightbox-thumb& width=&854& data-original=&/77e47fc24bae502d9d8d_r.jpg&&
图6 病毒作者电脑进程中发现作者正在阅读Delfhi开发方面的参考资料&br&&br&3）、同样在对病毒使用的某统计后台进行检测时，发现统计程序和服务器配置存在安全漏洞，导致统计后台程序的源码泄漏，进而获取到相应数据库的帐号密码信息，后续渗透拿到了部分病毒服务器的管理权限。通过对病毒服务器文件的进一步分析，获取到“食鼠猫”病毒的传播统计数据和病毒作者的其他信息。&br&&br&(1)、病毒统计后台程序存在安全漏洞，数据库操作语句也未进行安全过滤操作，还可以看到作者针对不同推广渠道进行扣量的设置。&br&&br&(2)、后续渗透得到部分病毒后台服务器的管理权限，通过进一步分析，掌握了“食鼠猫”病毒样本传播的历史统计数据以及病毒作者的其他信息。从“食鼠猫”病毒的后台***统计数据中可以看出，本次新变种的传播感染量较高，在8月8日前后达到日感染量近9万最高峰，在总共一个半月的时间里，累计感染量达到95万。&br&&img src=&/de5cbeaab337_b.jpg& data-rawwidth=&874& data-rawheight=&312& class=&origin_image zh-lightbox-thumb& width=&874& data-original=&/de5cbeaab337_r.jpg&&&br&
图7 食鼠猫病毒的感染数据&br&&br&&b&[三]：互联网灰色产业链的一角&/b&&br&&img src=&/fecfcbafd6ab01c2768b48_b.jpg& data-rawwidth=&715& data-rawheight=&349& class=&origin_image zh-lightbox-thumb& width=&715& data-original=&/fecfcbafd6ab01c2768b48_r.jpg&&&br&
互联网流量推广链条&br&&br&国内互联网的推广行为一直以来缺乏严格的规范和监管，在利益的熏陶下衍生了非常多的灰色地带。被利益纠结在一起的流量圈内角色关系复杂，有时其中一环就覆盖了链条上的多个角色。庞大的国内互联网市场作为一块蛋糕，有人通过出色的产品赢得用户，有人则伸出黑手在背后暗暗蚕食。&br&&br&“食鼠猫”样本作为一例典型的流氓推广类木马，一个多月的传播感染量就多达近百万，其本身载体就是一款流氓软件，而推广渠道也大多是通过其他流氓软件进行捆绑***。一方面通过推广某软件赚取推广费用，另一方面通过劫持导航网站赚取广告费用。
不知这个食鼠猫的名字是怎么个来历，这个病毒应该说挺有意思，作者很费心思做了个流氓推广的软件。 毒霸安全中心的分析师给了一个超详细的分析报告，可以说，这个病毒的分析揭示了中国大陆畸形的互联网产业。这个病毒只是做流氓推广的一种，通过这个病毒样…
Thanks The Great F*cking Wall
Thanks The Great F*cking Wall
都怪这些公司那么抠门，正规的做法，虽然说网络出口那里有【哔--】，多花点钱搞定也不会死啊。&br&&br&我想说的是，苹果***xcode，难道不会像Windows的UAC那样弹一个窗口，然后你签名不对窗口颜色都跟正常的不一样吗，为什么还装？
都怪这些公司那么抠门，正规的做法，虽然说网络出口那里有【哔--】，多花点钱搞定也不会死啊。 我想说的是，苹果***xcode，难道不会像Windows的UAC那样弹一个窗口，然后你签名不对窗口颜色都跟正常的不一样吗，为什么还装？
经过我测试，在上海电信50M，未翻墙未改DNS未买精品包的速度下，Mac App Store上下载Xcode的速度达到6MB/s以上&br&&img src=&/028ab08cfd6c35ffc11a_b.png& data-rawwidth=&1440& data-rawheight=&900& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&/028ab08cfd6c35ffc11a_r.png&&所以这怪不了国内下载苹果的东西慢，只能怪网易在管理上的严重疏忽，作为国内排名靠前的互联网公司，开发环境部署一塌糊涂，没有集中部署，大家只能自己下载，要么下载慢要么断网，逼着别人下第三方包，开发人员安全意识薄弱，没有检查***包的可靠性，测试环节也形同虚设，没发现app被注入代码&br&作为一家大型互联网企业，从上到下却和乡镇企业一般粗糙落后，还不如去养猪
经过我测试，在上海电信50M，未翻墙未改DNS未买精品包的速度下，Mac App Store上下载Xcode的速度达到6MB/s以上 所以这怪不了国内下载苹果的东西慢，只能怪网易在管理上的严重疏忽，作为国内排名靠前的互联网公司，开发环境部署一塌糊涂，没有集中部署，大家…
这绝对会是全世界有史以来最大规模的攻击事件了，何其高的借力打力。推测一下，他一定能青史留名。&br&&br&等完结后写篇文好了，标题叫《硅幕坠落》
这绝对会是全世界有史以来最大规模的攻击事件了，何其高的借力打力。推测一下，他一定能青史留名。 等完结后写篇文好了，标题叫《硅幕坠落》
日10时 更新：&br&就在今天凌晨，Github 上出现了个新项目：&a href=&///?target=https%3A///XcodeGhostSource/XcodeGhost& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&XcodeGhostSource/XcodeGhost ? GitHub&i class=&icon-external&&&/i&&/a&&br&README.md 里是疑似 XcodeGhost 作者的澄清文。&br&&b&注意：&/b&上面链接中的澄清文的真实性还有待考证，因为这两天出现过被感染的应用向用户索要 Apple ID 密码的案例，虽然真实性存疑，但是谨慎为好。相关讨论：&a href=&///?target=https%3A///t/221906& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://www.&/span&&span class=&visible&&/t/221906&/span&&span class=&invisible&&&/span&&i class=&icon-external&&&/i&&/a&&br&&br&受本次木马波及的应用，这里有份清单，事实上 360 在这次事件中贡献挺大的，好感度 +1：&a href=&///?target=http%3A///news/detail/2088.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&【持续更新】已知有后门的iOS App（9月19日凌晨1点更新）&i class=&icon-external&&&/i&&/a&&br&&br&&u&以上为最新动态，以下为原回答：&/u&&br&&br&我发现了一件喜闻乐见的事儿，就是 V2EX 的热门帖子快被黑网易的帖子刷榜了，内容无非是自己是 ios 用户，从此再也不敢相信网易了，接着苦口婆心奉劝大家卸载网易全家 app，最后给自己立个牌坊叫做「网易一生黑」。&br&&br&理性地思考，我觉得，既然发生了这种事情，这些大厂、小厂都是逃避不了责任的。但是我觉得更应该受到谴责的是木马的开发者好么？&b&就像有个恶徒用刀砍人，受害者却责怪那些生产刀具的企业生产出的刀太锋利？这不是有违常理吗？&/b&&br&&br&中间再插入一些话题，总所皆知咱们的网络环境有某墙娘在默默 &守护& 着，还有坑爹的某网络运营商阉割国际出口单独拿来当做增值服务出售，就在这种所谓的「国内网络环境」下，无论是 Web 开发者还是移动平台开发者，却多多少少要去那些不存在的网站搜索资料或者下载资源。这是要求那些大厂标配官方梯子吗？难道它们就不怕被请喝茶么？还是要求每个进 BAT 的程序员必备爬梯技能？&br&&br&关于流传的「迅雷离线服务器被攻破」，我认为有点异想天开。简单猜想一下迅雷离线的工作原理，我觉得只要木马开发者用本地代理或者改 hosts 等方法在自己本机劫持了 Apple 官方的 xcode 下载链接，然后通过迅雷进行下载，就能产生给迅雷产生从苹果官方服务器下载的假象，然后迅雷从开发者的机器里把注入过木马的 xcode 上传到了离线缓存或者 p2p 到其他用户的电脑里，最后就这么传播开了…&br&&br&跑题了，各位看官不好意思。我认为这次木马事件中，受到波及最大的就是网易了，其次就是那些名单上的那些应用以及各种多多少少有些亲缘的应用。企业公信力的丧失，用户变成惊弓之鸟，那些大厂公开道歉，自我反思，之后联合揪出罪魁祸首，最后事情不了了之…脑残粉照样用，不用的人想用时会产生警惕；那些之前就卸载了的，偏激一点的就是上面说的「网易一生黑」了，理智一点的大概会装回去吧。&br&&br&最后就是希望大家理智思考问题，然后就是建议各位 iOS 用户暂时卸载受该次事件波及的应用，等待厂商的解决方案。
日10时 更新： 就在今天凌晨，Github 上出现了个新项目： README.md 里是疑似 XcodeGhost 作者的澄清文。 注意：上面链接中的澄清文的真实性还有待考证，因为这两天出现过被感染的应用向用户索要 Apple ID…
希望这次事件能促进网易高层注意一下员工的设备更新。钱挣了，该投入还是要投入。
希望这次事件能促进网易高层注意一下员工的设备更新。钱挣了，该投入还是要投入。
&ol&&li&修改Apple ID密码，并开启两步验证。&br&&/li&&li&在App突然弹出提示框要求输入iCloud密码或其他密码时，不要输入。&br&&/li&&li&不要使用这些App，直到他们更新没有木马的版本。&/li&&/ol&&br&&p&根据360网络攻防实验室的&a class=& wrap external& href=&///?target=http%3A///p/& target=&_blank& rel=&nofollow noreferrer&&Xcode编辑器被植入后门漏洞报告&i class=&icon-external&&&/i&&/a&，已经受感染的应用包括：&/p&&blockquote&微信iOS
6.2.5&br&12306
2.12&br&滴滴出行
4.0.0.6&br&滴滴打车
3.9.7&br&高德地图
7.3.8&br&同花顺
9.26.03&br&中国联通网上营业厅
3.2&br&中信银行动卡空间
3.3.12&br&简书
2.9.1&br&豌豆荚的开眼
1.8.0&br&穷游
6.4.1&br&网易云音乐
2.8.3&br&网易公开课
4.2.8&br&下厨房
4.3.2&br&51卡保险箱
5.0.1&br&Lifesmart
1.0.44&br&马拉马拉
1.1.0&br&药给力
1.12.1&br&喜马拉雅
4.3.8&br&口袋记账
1.6.0&br&自由之战
1.0.9&br&我叫MT
4.6.2&br&我叫MT 2
1.8.5&br&***归属地助手
3.6.3&br&夫妻床头话
2.0.1&br&讯飞输入法
5.1.1463&br&愤怒的小鸟2
2.1.1&/blockquote&
修改Apple ID密码，并开启两步验证。 在App突然弹出提示框要求输入iCloud密码或其他密码时，不要输入。 不要使用这些App，直到他们更新没有木马的版本。 根据360网络攻防实验室的，已经受感染的应用包括：微信iOS 6.2.5 12306…
我不知道XcodeGhost有没有用，但是迅雷100%是可以被污染的。&br&&br&1. 请看demo（测试有效），&b&demo是&a class=& wrap external& href=&///?target=http%3A///evilxi4oyu& target=&_blank& rel=&nofollow noreferrer&&evil_xi4oyu的微博&i class=&icon-external&&&/i&&/a&做的，我只是搬运工。&/b&注意看原网址是一个不存在的文件，但是用迅雷可以下载到，会随机的下到5M和30几M的dmg文件，5M的是buildroot的***包，30几兆的是迅雷的exe。&br&&a class=& external& href=&///?target=http%3A///xcode-fake-1.1.1.1.dmg& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/x&/span&&span class=&invisible&&code-fake-1.1.1.1.dmg&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&&img data-rawheight=&128& data-rawwidth=&339& src=&/6b07a9aa98_b.jpg& class=&content_image& width=&339&&&br&2. demo其实是弱版的，因为这个url不存在，迅雷会以为是死链。McAfee很早之前就公开过一个ppt，对于原链接存在情况也能做污染&br&&a class=& wrap external& href=&///?target=https%3A///csw12/Xunlei_Network_Internal_for_Cansecwest.pptx& target=&_blank& rel=&nofollow noreferrer&&Xunlei_Network_Internal_for_Cansecwest.pptx&i class=&icon-external&&&/i&&/a&
我不知道XcodeGhost有没有用，但是迅雷100%是可以被污染的。 1. 请看demo（测试有效），demo是做的，我只是搬运工。注意看原网址是一个不存在的文件，但是用迅雷可以下载到，会随机的下到5M和30几M的dmg文件，5M的是buildroot的…
因为，Gatekeeper的原理是特定应用程序（如浏览器等）在下载文件时，通过一个API通知Mac OS X他写入的文件是从网上下载的，要求其进行检查。这样的文件的扩展属性中有一个quarantine bit。&br&但是，XCode巨大的体积，在中国的网络环境下，通过浏览器单线程下载，成功概率是很低的。而并非所有第三方下载工具都会设定这个quarantine bit，如果没有quarantine bit，Gatekeeper将不会动作。&br&另外，Gatekeeper实现在系统外壳层，而不是内核层及userland，你在命令行下运行的程序，它不能进行验证。直接运行app或者从Finder运行app的可执行文件，会出现如此警告：&br&&img data-rawheight=&339& data-rawwidth=&489& src=&/27c0ad54db9d794ddc7516b_b.png& class=&origin_image zh-lightbox-thumb& width=&489& data-original=&/27c0ad54db9d794ddc7516b_r.png&&&br&但是如果打开一个终端，从终端上运行app的可执行文件，app就被运行了。&br&&img data-rawheight=&670& data-rawwidth=&1353& src=&/e3df933ccc43dfbc78b5af_b.png& class=&origin_image zh-lightbox-thumb& width=&1353& data-original=&/e3df933ccc43dfbc78b5af_r.png&&&br&Windows下，其实早在XP SP2上就有和这个Gatekeeper类似的机制，你用IE8以上版本、2009年之后的Firefox或Chrome等支持这个机制的浏览器下载一个EXE文件，如果它没有签名，运行时Windows就会警告。
因为，Gatekeeper的原理是特定应用程序（如浏览器等）在下载文件时，通过一个API通知Mac OS X他写入的文件是从网上下载的，要求其进行检查。这样的文件的扩展属性中有一个quarantine bit。 但是，XCode巨大的体积，在中国的网络环境下，通过浏览器单线程下…
养成良好的上网与下载习惯比什么杀毒软件都管用，否则你总是会中毒的。另外，杀软无论如何会降低系统性能，就像在自家卧室里加了一把锁，非常不方便。中国的厂商爱把用户的电脑当战场，没有底线，我个人非常排斥杀软。日常使用Chrome为默认浏览器，Google给力的Sandbox（沙盒）隔离机制比什么防护都要值得信任。
养成良好的上网与下载习惯比什么杀毒软件都管用，否则你总是会中毒的。另外，杀软无论如何会降低系统性能，就像在自家卧室里加了一把锁，非常不方便。中国的厂商爱把用户的电脑当战场，没有底线，我个人非常排斥杀软。日常使用Chrome为默认浏览器，Google给…
对于Android开发者来说，看到这条消息吓得不轻。&br&&br&让同学和合作者把他们下的Android Studio、SDK都卸了，重新***经过校验的AS和SDK。&br&&br&好在win上exe文件都是有签名的。***时直接看签名就可以了。
对于Android开发者来说，看到这条消息吓得不轻。 让同学和合作者把他们下的Android Studio、SDK都卸了，重新***经过校验的AS和SDK。 好在win上exe文件都是有签名的。***时直接看签名就可以了。
XcodeGhost 先是让 iOS 用户多了一种甄别不靠谱开发者的有效方式。&br&现在又让 iOS 开发者多了一种甄别不靠谱第三方 SDK 的有效方式。&br&o??((??? ?????? ??)???)?o?
XcodeGhost 先是让 iOS 用户多了一种甄别不靠谱开发者的有效方式。 现在又让 iOS 开发者多了一种甄别不靠谱第三方 SDK 的有效方式。 o??((??? ?????? ??)???)?o?
因为写病毒炫耀自己的时代已经过去了
因为写病毒炫耀自己的时代已经过去了
把几年前的原***删了...&br&曾经也是研究杀软的重度患者，经过治疗，几年后总结如下&br&windows电脑随便装个杀毒软件就行了，厉害的新木马杀软都防不了，普通的都能拦一下，所以不要再纠结哪个厉害不厉害的，记住，你不是黑客，别再研究这付出和回报不成正比的事情了，&b&把时间花在正确的事情上，用你的电脑做点正事吧&/b&。&br&&br&&b& windows电脑千万千万不要裸奔，因为&/b&&br&1、裸奔连个渣渣U盘病毒都防不了，这是很可笑的（有次同事插了别人的U盘，C盘无限生成文件夹，最后重装系统才解决）。&br&2、啥？只要养成良好的上网习惯，不浏览黄XX网站就不会中毒，这种想法是&b&非常无知&/b&的， 稍有人气的门户，论坛，游戏甚至是政府网站，这些你们眼中安全的网站都有可能被黑客利用漏洞入侵，挂上木马，&b&请不要再被「良好习惯上网，电脑可以裸奔」这种非常无知的观点误导了&/b&。&br&3、破解软件很大概率带木马，杀软也许能防一下，但是很多人为了眼前的利益，宁愿相信「本破解软件安全无毒， 杀毒软件可能会报毒，请添加到信任」的温馨提示，侥幸希望它没带病毒。&br&当你决定用破解软件的时候，请顺便做好承认自己很可能要中毒的心理准备。&br& 4、真不放心就用最叼的卡巴斯基啦，以前的电脑硬件不行，所以卡吧死机，现在都2016年了，电脑配置跑卡巴斯基其实不卡的，别拿2006年的电脑比啊亲，激活码去马云家两块钱搞定。&br&&br&我把裸奔的电脑高手定性为过于自信，跟风裸奔的初中级用户定性为过于无知！&br&&br&真不想装杀软唯一的解法是买Mac用OS X系统。
把几年前的原***删了... 曾经也是研究杀软的重度患者，经过治疗，几年后总结如下 windows电脑随便装个杀毒软件就行了，厉害的新木马杀软都防不了，普通的都能拦一下，所以不要再纠结哪个厉害不厉害的，记住，你不是黑客，别再研究这付出和回报不成正比的事…
wps现在已经已经完全进化成木马下载器了.&br&&br&这是wps自动下载的. ***到AppData\Roaming\Software\ntatb\AlimamaAgent.exe&br&&br&&br&太无耻了.!
wps现在已经已经完全进化成木马下载器了. 这是wps自动下载的. ***到AppData\Roaming\Software\ntatb\AlimamaAgent.exe 太无耻了.!
已有帐号？
无法登录？
社交帐号登录