vml.exe 是继机器狗IGM又一新病毒,中vml.exe后,打开任何网站会自动加载类似kkcncn.com或xx.exiao01.com/2.html下面的某些控件,穿透冰点,自动弹出窗口,掉线等症状。打下vml免疫补丁及微软的IGM补丁基本上可以解决加载kkcncn,vml.exe IGM机器狗等病毒。
VML免疫:
@echo off
title KillIgm
MODE con: COLS=14 LINES=1
md c:\WINDOWS\Kvsc3.exe >nul 2>nul
md c:\WINDOWS\GenProtect.exe >nul 2>nul
md c:\WINDOWS\235780WL.DLL >nul 2>nul
md c:\WINDOWS\swchost.exe >nul 2>nul
md c:\WINDOWS\MsIMMs32.exe >nul 2>nul
md c:\WINDOWS\AVPSrv.exe >nul 2>nul
md c:\WINDOWS\WinForm.exe >nul 2>nul
md c:\WINDOWS\upxdnd.exe >nul 2>nul
md c:\WINDOWS\cmdbcs.exe >nul 2>nul
md c:\WINDOWS\NVDispDrv.exe >nul 2>nul
md c:\WINDOWS\system32\Vml.exe >nul 2>nul
md c:\WINDOWS\system32\kvdxsfis.exe >nul 2>nul
md c:\WINDOWS\system32\LYLOADER.EXE >nul 2>nul
md c:\WINDOWS\system32\zxatl.dll >nul 2>nul
md c:\WINDOWS\system32\gjatl.dll >nul 2>nul
md c:\WINDOWS\system32\wlatl.dll >nul 2>nul
md c:\WINDOWS\system32\djatl.dll >nul 2>nul
md c:\WINDOWS\system32\wf.dll >nul 2>nul
md c:\WINDOWS\system32\mcfer.dat >nul 2>nul
md c:\WINDOWS\system32\NBMediaInfo_Adv.ini >nul 2>nul
md c:\WINDOWS\system32\Kvsc3.dll >nul 2>nul
md c:\WINDOWS\system32\GenProtect.dll >nul 2>nul
md c:\WINDOWS\system32\AVPSrv.dll >nul 2>nul
md c:\WINDOWS\system32\oxelvchnty.dll >nul 2>nul
md c:\WINDOWS\system32\MsIMMs32.dll >nul 2>nul
md c:\WINDOWS\system32\MSDEG32.DLL >nul 2>nul
md c:\WINDOWS\system32\LYMANGR.DLL >nul 2>nul
md c:\WINDOWS\system32\WinForm.dll >nul 2>nul
md c:\WINDOWS\system32\sqmapi32.dll >nul 2>nul
md c:\WINDOWS\system32\msplay32.dll >nul 2>nul
md c:\WINDOWS\system32\kvdxsfcf.dll >nul 2>nul
md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul
md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul
md c:\WINDOWS\system32\NVDispDrv.dll >nul 2>nul
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
VML封路由:
除此之外最好在路由器禁止如下IP及域名
203.174.87.210
64.233.167.99
4 58.211.79.107
219.153.42.98
221.130.191.207
60.190.218.101
122.224.11.2
122.224.11.3
122.224.11.4
xx.exiao01.com
kkcncn.com
t.11se.com
www.94ak.com
www.99mmm.com
ask.35832.com
www.35832.com
临时解决方法:
* 解除vgx.dll的注册
点击“开始”菜单,选择“运行”,在其中输入下面的命令:
regsvr32 -u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll"
然后点击“确定”,在随后出现的弹出窗口中点击“确定”按钮。
在微软发布补丁后,如果想恢复注册,只需再用上述方法运行下面的命令即可:
regsvr32 "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll"
* 修改访问控制列表,限制用户对vgx.dll访问
* 配置Microsoft Windows XP SP2上的IE6在Internet和本地Intranet安全区中禁用“二进制和脚本行为”
* 以纯文本方式读取邮件消息
关于 vml.exe IGM.EXE病毒的微软补丁
0day exploit MS07-017
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
Exploit.Win32.IMG-ANI.gen
2007年4月4日凌晨,微软官方对ANI鼠标指针漏洞补丁更新。大名鼎鼎的高危险ANI鼠标指针漏洞,该漏洞的利用程序通常伪装成一个图片只要点击了带有恶意代码图片的网站或邮件就会被感染上恶意程序,并且无论是IE6或IE7或者是firefox\Opera等非IE浏览器无论是Windows NT\2000\XP\2003\Vista操作系统都有被感染的可能。
其他网络应用软件如QQ、MSN、各种邮件软件、RSS软件等也可能受到该漏洞的影响.由于该漏洞的多个版本的利用程序使用了很多技巧,因此会绕过绝大多数杀毒软件、防漏洞软件以及主动防御软件使其失效。
这样对用户机器产生极大危害,一旦没有补丁的机器打开了包含恶意代码的网站或邮件,病毒或恶意程序就会立即悄悄在后台运行.在没有任何反应的情况下使用户的机器中上盗号木马、恶意广告软件、蠕虫病毒等等。用户可以根据自已所用操作系统的版本选择下载:
Windows 2000 操作系统:
http://download.microsoft.com/download/d/4/d/d4d5b707-58a9-4fbc-ab58-e20cc86db7bb/Windows2000-KB925902-x86-CHS.EXE
Windows 2003 操作系统:
http://download.microsoft.com/download/d/8/f/d8fc1f92-a8a3-490a-b8c1-70258436e37f/WindowsServer2003-KB925902-x86-CHS.exe
Windows XP 32位操作系统:
http://download.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe
目前大多数网页病毒如IGM.EXE vml.exe 和fjOs0r.dll等病毒都通过此0day漏洞进入你的电脑
请在开机预留通道中加入如下命令行
\\ip或者主机名\menu\Windows2000-KB925902-x86-CHS.EXE /q /n
自动安装不需要重启,即时生效,然后再去访问下刚刚中毒的网站,发现已经不能自动下载病毒了。
穿透DEEP IGM病毒免疫补丁专杀合集10.24更新
http://down.wglm.net/safety/aqbd/20071024/2788.html
最直白的说:就是已经被黑客或其他类似组织等少部分人发现甚至利用,但是官方及普通用户等大众还未发现或知悉的漏洞。举个例子:早期微软的wmf漏洞,在发现此漏洞后,部分黑客已经针对此漏洞编写了脚本进行攻击,但此时微软及大众用户并不知道存在此漏洞,直至此漏洞被大规模利用,微软发布相关补丁才阻止事态扩大。
0day漏洞的危害或恐怖在于:可能你觉得你现在的终端或服务器或系统各类补丁都已更新至最新,但是可能存在连官方都未知的漏洞,而这些漏洞已经被恶意黑客所发现及利用,窃取了你的资料而你仍不知道。
目前防范0day漏洞主要通过大数据分析,因为不管是什么漏洞,想要窃取某些东西或是单纯的想进行攻击总会涉及到系统权限的问题,大数据分析通过利用0day漏洞传播的病毒木马 对比分析,进而防范0day。
以上是我个人理解。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)