如此高超的Hacker技術.. 要如何防範呢...? ..) 唉!

[swordfish9]

我剛剛去一個名為天空的聊天室
我離開之後 因為我發現我沒有在讀網路任何東西
但是數據機一直在讀 硬碟也在讀
我就感到怪怪的 我就馬上重開機
開機之後 防毒程式馬上就發現兩個木馬程式
我今天都沒灌任何軟體 而且才剛用ghost復原過
我的ghost非常乾淨 不可能有木馬
而且我去的網站 只有那一間聊天室

以前我的電腦知識是認為 木馬程式要本身執行才會中標
沒想到去聊天 也沒下載任何聊天任何東西 卻中標了
那是www的聊天室 用瀏覽器聊天的
有高手能解釋一下嗎
現在的駭客 已經高明到
知道你的ip就可以把你下木馬的程度了
我真是不敢相信
有高手能說明一下嗎
受害者 <[email protected]>
- 2001/09/20 09:31:30 211.74.17.159
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
請問有人能回答說明一下這是怎麼回事嗎?

有無什麼方法可以有效防範這種狀況的發生... ?

請高手們說明一下ㄅ ..)

PS: 順便請教一下前輩們,你們知道哪裡找的到 Noipnet 這個程式的DL連結..或有人有嗎?

謝謝!

[rs125]

把瀏覽器的JAVA功能關閉...
這樣可以過濾掉不少"有害"的東東...
不過犧牲的是特效的功能...
是犧牲安全性或特效就看自己的選擇了...

[塵緣]

最初由 swordfish9
恕刪

你去的是 http://az.2u.com.tw 嗎



新浪科技報道﹕
　　國家反病毒應急處理中心聯防單位北京江民公司的反病毒應急小組最近監測到國內有心懷不軌的人到處在互連網上散發
一個美麗誘人的網址"萬花谷"，這實際是一個惡意"陷阱"，有人經不住誘惑，只用鼠標輕輕點一下，計算機就立即癱瘓了，
這是有人利用Java最新技術進行破壞的又一個惡意網址。北京江民公司提醒廣大上網用戶注意嚴加防範，遇到有On888.xxx之
類的網址請不要點擊，並開啟KVW3000的病毒實時監視防火牆進行防殺。

該病毒的技術特徵﹕

JS/On888是一個新的含有有害代碼的ActiveX網頁文件，它通過在一個網絡地址來對計算機用戶造成破壞,其破壞特性如下﹕
　(1)用戶不能正常使用WINDOWS的DOS功能程序；
　(2)用戶不能正常退出WINDOWS，
　(3)開始菜單上的"關閉系統"、"運行"等欄目被屏蔽，防止用戶重新以DOS方式啟動，關閉DOS命令、關閉REGEDIT命令等。
　(4)將IE的瀏覽器的首頁和收藏夾中都加入了含有該有害網頁代碼的網絡地址。
具體的表現形式是﹕
　a﹕網絡地址是﹕www.on888.xxx.xxx.com；
　b﹕在IE的"收藏夾"中自動加上"萬花谷"的快捷方式,網絡地址是﹕"http://96xx.xxx.com";


現在上網真是不安全，前一陣子鬧得最凶的是“萬花谷”，如果進入該網頁瀏覽者註冊表會被修改，好多系統功能因此受到限製。最近又聽說有網友在瀏覽網頁時硬盤被共享，危害似乎更大！

　　其實，所謂的瀏覽網頁硬盤被共享，和“萬花谷”一樣，受害者都是在瀏覽了含有有害代碼的ActiveX網頁文件後中招的。以下是該網頁原代碼中的關鍵部分﹕




　　注意﹕以“Shl.RegWrite”開頭的這幾句代碼的作用是寫入瀏覽者的註冊表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面添加鍵值“RWC$” ，在RWC$”下又分別建立鍵值“Flags”、“Type”“Path”，這樣就把c盤設為共享了，共享名為RWC$。而且你在網絡屬性中還看不到硬盤被共享了！如果把"Flags"=dword:00000302改成"Flags"=dword:00000402就可看到硬盤被共享。

　　由於只要瀏覽這類網頁硬盤即被共享，因此其危害較之木馬更大（個人觀點）。如果不小心中招，那麼給你下套的人完全可以把你的硬盤當做他的一個邏輯硬盤，他可以在你電腦中隨意拷貝文件，刪除文件，給文件改名……如果這樣還不能令他滿意，他完全可以給你再下個木馬（哦，錯了！不是一個、是一群木馬），那樣你就生不如死了，什麼秘密都沒有了﹕上網賬號、QQ密碼、給MM的信件……如果他高興還可以格式化你的硬盤，或者是在你的電腦中運行“江民炸彈”之類的軟件破壞你的硬盤。總之，你的一切都在他的掌握之下了，想想夠可怕了吧？


　　解決辦法﹕把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的“RWC$”刪掉。狠一點的，也可以把windows\system\下面的Vserver.vxd（Microsoft 網絡上的文件與打印機共享，虛擬設備驅動程序）刪掉，再把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的Vserver鍵值刪掉，永絕這類“木馬”的後路吧。

　　防御防範﹕

　　1、不要輕易去一些自己並不了解的站點，特別是那些看上去美麗誘人的網址更不要貿然前往，否則吃虧的往往是你。
　　2、運行IE，點擊“工具→Internet選項→安全→Internet區域的安全級別，把安全極別由“中”改為“高”
　　3、由於該類網頁是含有有害代碼的ActiveX網頁文件，因此在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以避免中招。具體方法是﹕在IE窗口中點擊“工具→Internet選項，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及Java相關全部選擇“禁用”即可。不過，這樣做在以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。唉，有利就有弊，你還是自己看著辦吧。
　　4、對於Windows98用戶，請打開C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”刪掉；對於WindowsMe用戶，請打開C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉。請放心，刪除這個組件不會影響到你正常瀏覽網頁的。
　　5、既然這類網頁是通過修改註冊表來破壞我們的系統，那麼我們可以事先把註冊表加鎖﹕禁止修改註冊表，這樣就可以達到預防的目的。不過，自己要使用註冊表編輯器regedit.exe該怎麼辦呢？因此我們還要在此前事先準備一把“鑰匙”，以便打開這把“鎖”！

　　加鎖方法如下﹕
　　(1)運行註冊表編輯器regedit.exe；
　　(2)展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，新建一個名為DisableRegistryTools的DWORD值，並將其值改為“1”，即可禁止使用註冊表編輯器regedit.exe。

　　解鎖方法如下﹕
　　用記事本編輯一個任意名字的.reg文件，比如unlock.reg，內容如下﹕

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

　　存盤。你就有了一把解鎖的鑰匙了！如果要使用註冊表編輯器，則雙擊unlock.reg即可。要注意的是，在“REGEDIT4”後面一定要空一行，並且“REGEDIT4”中的“4”和“T”之間一定不能有空格，否則將前功盡棄！

　　6、安裝網絡防火牆，特別是安裝了Norton2001後，進入該類網頁就會報警提示有腳本寫註冊表，國產反病毒軟件KVW3000也有此類功效，建議你也安裝一個這樣的軟件。
　　7、雖然經過一番辛苦的勞動修改回了標題和默認連接首頁，但如果以後又不小心進入該站就又得麻煩一次。其實，你可以在IE中做一些設置以便永遠不進該站點﹕
打開IE，點擊“工具”→“Internet選項”→“內容”→“分級審查”，點“啟用”按鈕，會調出“分級審查”對話框，然後點擊“許可站點”標簽，輸入不想去的網站網址，如輸入﹕http://www.sohu8.com，按“從不”按鈕，再點擊“確定”即大功告成！

[swordfish9]

最初由 rs125
把瀏覽器的JAVA功能關閉...
這樣可以過濾掉不少"有害"的東東...
不過犧牲的是特效的功能...
是犧牲安全性或特效就看自己的選擇了...

嗯.. 若要為了安全起見,我想~ 還是把JAVA關掉好了--)

謝謝你的指導^^

[swordfish9]

[QUOTE]最初由 塵緣
[B]


你去的是 http://az.2u.com.tw 嗎?




塵緣兄.

我沒去過上述的網站ㄝ.. 我PO的這篇文章是轉貼自"史版"的一篇問題.

我就是看到了這篇POST才會上來向這裡的前輩.高手們請益的

另外也是想順便問問看..是否有人知道哪裡找的到Noipnet這個程式的下載連結...
或是有人有這個程式嗎?

也要謝謝你的回應!
因為你PO的這篇內容讓我見識到網安的意義與重要性,也從裡面學到了一些這方面的知識

謝謝你!

[iverson007]

唉~~~網路愈來愈危險囉
多多增加電腦知識來防範吧

[ycc0629]

其實很簡單呀！
如果利用資源分享，把木馬放到你的啟動程式裡面等等..
你重開機電腦不就自動啟動木馬了！
其實沒有NOIPNET這個軟體啦
駭客纏身裡的這個東西，他怎麼可能會用真的名稱出來咧
要是他用真名出來的話，大家都去找就好了，何必要去加入會員下載
但是我知道有一個軟體和那鍋一樣有同樣的功能
我目前還在懷疑他裡面放的就是我知道的那個說！
但是我也不能確定啦
不過最終的目的還不就是為了要FAKE IP你說訴不訴丫！呵．．呵．．