当今病毒和木马到底有没有技术含量

Helones

最近半年了,从媒体恶炒的“熊猫烧香”开始,到最新的“AV终结者”,媒体、公众、网络上吵得风风火火,如此如此厉害之类的,我只是默默的下载上来,加以研究,然后归类,最后总结出来的结果就是:此类东西,根本毫无技术可言!
　　
　　　　1．从感染的途径说起:我看除了网页下载(含压缩包或者执行程序打包)和可移动磁盘(俗称:U盘)外,几乎没有第三种感染途径了.
　　
　　　　2．从感染的源头说起:除了部分可能是高手们通过隐匿的方法埋的以外,其它几乎清一色的都是注入动态网页.
　　
　　　　3．从被感染者说起:几乎都不打微软更新补丁,并且没有良好的安全意识的群体.
　　
　　　　以上三点,我下面加以详细说明.
　　
　　　　1．可移动磁盘感染,几乎无一例外都是使用了AUTORUN,这个方法.而且源代码都非常的统一:
　　
　　
　　　　[AutoRun]
　　
　　　　OPEN=setup.exe
　　
　　　　shellexecute=setup.exe
　　
　　　　shell打开(&O)command=setup.exe
　　
　　　　shellexecute=setup.exe
　　
　　　　shell资源管理器(&O)command=setup.exe
　　
　　　　开个玩笑说的话,如果换做是我写这东西,我一定做一个特生动的图标,然后我会很容易的加入一行:
　　
　　　　icon=XXXX.ico
　　
　　　　进去,即使做,也要做得好看,不要太没技术水平.
　　
　　　　可是呢?我们亲爱的作者们,却是一味的抄袭,不思进取,连我说的这么简单的东西也没有实现.可见作者群的质素和能力的极端低下.
　　
　　　　2． 网页感染,几乎都是JS和IFRAME注入式的嵌套加载,而且用的全部都是MS-06014和MS-07017这两个老旧的漏洞来实现的,极少使用了ANI的exploit,但是也无任何技术含量.我都在怀疑,你只需要打足我提到的这三个补丁,几乎可以安全的防范大半的网页注入式木马了.
　　
　　　　3．网页被注入,我看网页能被注入的一大半都是ASP的,少数是PHP的,而最终的原因都是服务器管理员,自身根本没有意识到自己的服务器是否存在安全漏洞,并且对权限设置方面,没有任何的了解.UNIX下直接给予777,WIN下直接完全控制的之类,甚至连口令干脆为空或者就是123或者ADMIN之类的弱口令,这不是等着让别人到你服务器上来乱搞一气??特别是政府类的网站,我看那些管理员根本就是吃干饭的.
　　
　　　　以上的说法,并不是说我自己怎么怎么厉害了,只是我从客观的方面谈论一下这个罢了,如果您不信,以下的情况你是否有考虑到?所谓病毒木马的作者们?
　　
　　　　1．上面的AUTORUN,如果遇到一个非简体中文的系统,会是什么情况?
　　
　　　　2．如果一个打足了补丁的WIN系统,你们有办法实现木马下载么?
　　
　　 3．如果一台WIN系统,禁止了ACTIVEX下载的功能,你又有办法实现自动下载么?
　　
　　　　4．如果一台服务器的网站使用全HTML静态页,权限设定得当,后台按一定时间自动更新静态页,你又能如何去注入?
　　
　　　　5．退一万步,即使这些东西都下载到机器上,你在非中文的系统下能正常运行么?
　　
　　　　呵呵~~如果以上的情况都没有考虑过的话,只能说明你根本不成熟,不具备病毒的任何特性.
　　
　　　　杀毒软件厂商在商业的驱动下,也开始了一步一步的退化,也变得越来越脆弱.
　　
　　　　瑞星:估计一个简单的 ICE SWORD 就能让他彻底闭上那狮子嘴了
　　
　　　　金山:可能 WINDOWS 的 Processs kill 就能让他挂了
　　
　　　　江民:可能非 WINDOWS 的进程管理器,足以让他死掉
　　
　　　　卡巴:5.0还好一点,6.0估计一个简单的 DATE 这个 DOS 命令足以让他致命
　　
　　　　360:如果我将注册表编辑器禁止了,或者改名了,好像它什么事也做不了了吧
　　
　　　　其它的我也不好说什么了.
　　
　　　　如果丢开那些杀软,WINDOWS 自带命令组合,也足够让上面那些中这木马的人,心头发麻,杀软肯定也是不会提供任何可疑操作.
　　
　　　　举个例子:
　　
　　　　cacls 这个权限操作命令,如果我将你的 %TEMP% 这个目录变量定成了任何人无权访问,结果会如何?
　　
　　　　taskkill 这个杀进程命令,如果我指令专杀你的EXPLORER.EXE进程,这个又会怎么样?
　　
　　　　更狠一点的: del *.* /s /q 这个呢? 是不是你又准备将硬盘查个底朝天???
　　
　　　　其实前几天一直也和有这里发文的YKSOFT,讨论这些事情,我们想像的东西,可能比目前的举更为可怕,但是,一直却没有人去实现.我们自己测试,也基本上以成功而放弃.
　　
　　　　呵呵,~~其实这些简单的组合都被它们忽略了.
　　
　　　　综上所述:想真正做到不被人欺骗,能自己手工处理这些事情,能好好看清所谓的“技术”,还请自己给自己好好补上一些基础课.不要认为会用,就是会维护;不要认为理解了,就不去深入研究.
　　
　　　　不要怕摔倒,哪里摔倒,就从怕爬起来!这才是真正你要做到的事.
　　
　　　　谢谢各位看完我这些乱七八糟的话,我不是学文的,能力有限,希望大家能理解,只是我想把这些道理说清楚一点,不要做某些事情而迷茫了自己的双眼.

由于漏洞的多个版本的利用程序使用了很多技巧
　　
　　因此会绕过绝大多数杀毒软件、防漏洞软件以及主动防御软件
　　
　　使其失效
　　
　　这样对用户机器产生极大危害
　　
　　
　　一旦没有补丁的机器打开了包含恶意代码的网站或邮件
　　
　　病毒或恶意程序就会立即悄悄在后台运行
　　
　　在没有任何反应的情况下使用户的机器中上盗号木马、恶意广告软件、蠕虫病毒等等
　　
　　
　　受影响系统
　　
　　Microsoft Windows Vista 所有版本
　　
　　Microsoft Windows XP 所有版本
　　
　　Microsoft Windows Server 2003 SP1
　　
　　Microsoft Windows Server 2003
　　
　　Microsoft Windows 2000 所有版本
　　
　　Microsoft Windows是微软发布的非常流行的操作系统。
　　Microsoft Windows在处理畸形的动画图标文件（.ani）时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器
　　Microsoft Windows在处理畸形文件（.ani）时没有正确地验证ANI头中所指定的大小，导致栈溢出漏洞如果用户受骗使用IE访问了恶意站点或打开了恶意的邮件消息的话，就会触发这个溢出，导致执行任意代码。
　　请注意Windows资源管理器也会处理一些文件扩展名的ANI文件，如.ani、.cur、.ico等。

小R

如你所说的，是没有技术含量的，但是，你没说全，哦，转的阿。

vaststars

最强的应该是当年的diehard病毒把（忘了是不是这个名字）

据说能绕过分区格式化。