| Perfil de MJ自在空间BlogListas |  Herramientas  Ayuda |
|
17/11/2007 魏武诗选其一 古公□(“擅”去提手旁,音“胆”)甫,积德垂仁。 太伯仲雍,王德之仁。 伯夷叔齐,古之遗贤。 智哉山甫,相彼宣王。 齐桓之霸,赖得仲父。 晏子平仲,积德兼仁。 仲尼之世,主国为君。 其二 自惜身薄祜,夙贱罹孤苦。 其穷如抽裂,自以思所怙。 守穷者贫贱,惋叹泪如雨。 我愿于天穷,琅邪倾侧左。 快人由为叹,抱情不得叙。 我愿何时随?此叹亦难处。 其三 朝日乐相乐,酣饮不知醉。 弦歌感人肠,四坐皆欢悦。 持满如不盈,有德者能卒。 慊慊下白屋,吐握不可失。 比翼翔云汉,罗者安所羁? 秋胡行(二首) 其一 晨上散关山,此道当何难! 有何三老公,卒来在我旁? 我居昆仑山,所谓者真人。 去去不可追,长恨相牵攀。 其二 愿登泰华山,神人共远游。 天地何长久!人道居之短。 明明日月光,何所不光昭! 四时更逝去,昼夜以成岁。 戚戚欲何念!欢笑意所之。 度关山
鸿雁出塞北,乃在无人乡。
云行雨步,超越九江之皋。
乡土不同,河朔隆冬。
孟冬十月,北风徘徊,
神龟虽寿,猷有竟时。
瓮中无斗储,发箧无尺缯。 13/11/2007 11.11昨日又是一年11.11。原来家中系统所装三防是rising 2007 & Skynet 3.0(05年所出版本?),系统自动更新也未打开。昨日晚间上网时MT等程序突然出现不时地崩溃退出,rising频繁提示有硬盘上的可执行程序被病毒感染,Skynet提示有大量内网、外网的IP试图UDP访问,期间竟然导致几次Skynet因数据量过多,出现假死状态。看来状况还是很严重的,但当时看还能凑合上网,就未理会此事。
今日晚间有闲,遂细细查来。本想用rising2007先对硬盘做全盘扫描查毒,但是不知是否是因为病毒感染深入的原因,本来扫描进程应该很快的,但是今日扫描进程异常缓慢,恰逢rising近日正式推出RAV2008,遂自网上下载来升级包升级之,再查全盘,结果扫描出竟有200余文件被感染,再用360safe查,这回只查到一个病毒。 具体所中病毒见以下: infostealer/Win32.gampass win32.almanahe.B!inf Worm.Magistr.g Trojan.Win32.Mnless.suk WinDysW Trojan.PSW.Win32.WoWar.uz Trojan.Win32.Agent.yxq Backdoor.ASP.Ace.zn 首先使得Rising报警的是Worm.Magistr.g 病毒,其他病毒都是杀毒软件在扫描硬盘时所扫描出来的。 根据中毒时的状况,Worm.Magistr.g 病毒似乎同威金病毒、熊猫烧香病毒相似,都是感染硬盘上的所有可执行程序,由此导致被感染的程序无法运行,但是似乎效率不如后两个病毒高,不知是否是rising2007的功劳。但是rising2007在查杀此病毒时,自身也变得运行缓慢,查杀的效率比较低,直到换了Rising2008,才比较彻底地查杀了一遍病毒。但是似乎也未查杀干净,上面病毒列表中的有几个病毒是360safe所查杀的。 infostealer/Win32.gampass病毒,其会在C:\windows目录下生成两个系统、隐含的文件:205910wl.dll 、205910wo.dll,此两个文件被注入到windows的shell程序explorer中,无法删除,只有在终结了explorer进程后,才删得掉这两个文件,病毒才表面上算被清理掉。 关于Worm.Magistr.g 病毒的资料在百度“知道”中找到一些:
----------------------- “马吉斯(Worm.Magistr)”病毒专杀工具
病毒名称: Worm.Magistr.g
病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。 病毒源文件为boot.exe,由用户从U盘上提取。
病毒源文件流程:
boot.exe运行后检查自己是否在驱动器根目录下,如不是退出。
检查是否存在"C:\WINNT\linkinfo.dll",如果不存在则建立该文件。
检查驱动文件是否存在,如不存在则生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys(加载后删除),并调用ZwSetSystemInformation加载驱动。 装载该dll,然后查找病毒调用序号为101的导出函数。
DLL流程:
DLL被装载时:
1、获得系统sfc.dll中的SfcIsFileProtected函数地址,以便在感染时调用以防止感染受系统保护的文件。
2、获取系统的linkinfo.dll(%system32%目录下)的下列导出函数,使自己导出的同名函数指向正常的linkinfo.dll中正确的函数,以便转接这些函数。 ResolveLinkInfoW
ResolveLinkInfoA IsValidLinkInfo GetLinkInfoData GetCanonicalPathInfoW GetCanonicalPathInfoA DisconnectLinkInfo DestroyLinkInfo CreateLinkInfoW CreateLinkInfoA CompareLinkInfoVolumes CompareLinkInfoReferents 3、检查自己是否在explorer.exe进程中,如不是则启动病毒主线程。
4、启动病毒主线程
病毒首先通过VMWare后门指令检查是否是在VMWare下运行,如果是直接重启机器,以此来防止自己在虚拟机中被运行。
生成名称为"PNP#DMUTEX#1#DL5"的互斥量,以保证只有一个实例在运行。
然后开始启动各工作线程
5、工作线程1(生成窗口和消息循环)
生成隐藏的窗口和消息循环,并通过调用RegisterDeviceNotificationA注册设备通知消息,当发现插入可移动磁盘时,向可移动磁盘写入病毒源boot.exe。
6、工作线程2(遍历并感染所有磁盘)
从"C:\"开始感染所有磁盘中后缀名为"exe"的文件。
病毒在感染时,不感染"QQ"、"winnt"和"windows"目录下的程序文件,并通过调用SfcIsFileProtected来检查是否为系统文件,如是则不感染。
同时,病毒不感染以下程序: wooolcfg.exe
woool.exe ztconfig.exe patchupdate.exe trojankiller.exe xy2player.exe flyff.exe xy2.exe 大话西游.exe au_unins_web.exe cabal.exe cabalmain9x.exe cabalmain.exe meteor.exe patcher.exe mjonline.exe config.exe zuonline.exe userpic.exe main.exe dk2.exe autoupdate.exe dbfsupdate.exe asktao.exe sealspeed.exe xlqy2.exe game.exe wb-service.exe nbt-dragonraja2006.exe dragonraja.exe mhclient-connect.exe hs.exe mts.exe gc.exe zfs.exe neuz.exe maplestory.exe nsstarter.exe nmcosrv.exe ca.exe nmservice.exe kartrider.exe audition.exe zhengtu.exe 7、工作线程3(禁止其它病毒、破坏卡卡助手和感染网络)
枚举进程,如果进程的程序文件名(包括目录)是如下程序(常见的病毒程序),将终止该进程
realschd.exe
cmdbcs.exe wsvbs.exe msdccrt.exe run1132.exe sysload3.exe tempicon.exe sysbmw.exe rpcs.exe msvce32.exe rundl132.exe svhost32.exe smss.exe lsass.exe internat.exe explorer.exe ctmontv.exe iexplore.exe ncscv32.exe spo0lsv.exe wdfmgr32.exe upxdnd.exe ssopure.exe iexpl0re.exe c0nime.exe svch0st.exe nvscv32.exe spoclsv.exe fuckjacks.exe logo_1.exe logo1_.exe lying.exe sxs.exe 病毒通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口,使该驱动在加载时失败。
枚举网络资源,并尝试对网络资源中的文件进行感染。
枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件,尝试连接时使用"Administrator"作为用户名,并使用下列密码尝试。
password1
monkey password abc123 qwerty letmein root mypass123 owner test123 love admin123 qwer !@#$%^&*() !@#$%^&*( !@#$%^&* !@#$%^& !@#$%^ !@#$% asdfgh asdf !@#$ 654321 123456789 12345 admin 8、工作线程4(修改host文件并下载)
备份host文件为host.txt,并下载文件代替。 查找系统html文件的关联程序,启动并注入dll以便穿过防火墙的拦截。 尝试连接以下地址并下载文件 http://top.cn372*****rg/c.asp http://top.cn37****rg/top.dat 9、工作线程5(监视并禁止其它病毒) 通过调用驱动获得新生成的进程,如果进程的文件是指定程序(见工作线程3),终止该进程
驱动: 该驱动加载后首先通过替换 SDT 的中的函数地址挂钩
ZwSaveKey ZwQueryDirectoryFile ZwClose ZwEnumerateKey ZwLoadDriver ... 等 API 来保护病毒的注册表键值不被发现和修改,并隐藏病毒文件(boot.exe, linkinfo.dll, nvmini.sys等), 以及禁止一些安全软件的驱动加载。 然后,驱动创建一个名为 DL5CProc 的设备。用户进程可以通过 ioctl = 25270860 来获得最后一个创建进程的进程 ID。
这个进程 ID 是通过调用 PsSetCreateProcessNotifyRoutine 得到的通知获得。 该驱动还会通过 PsSetLoadImageNotifyRoutine 设置映像加载通知,如果加载的映像文件在以下子目录中:
COMMON FILES, WINDOWS\SYSTEM32, WINNT\SYSTEM32 并且名为: DLLWM.DLL WININFO.RXK RICHDLL.DLL WINDHCP.DLL DLLHOSTS.DLL NOTEPAD.DLL RPCS.DLL RDIHOST.DLL RDFHOST.DLL RDSHOST.DLL LGSYM.DLL RUND11.DLL MDDDSCCRT.DLL WSVBS.DLL CMDBCS.DLL UPXDHND.DLL 该驱动会通过修改物理内存修改模块入口是这些模块返回失败,无法成功加载。这些动态库多是一些盗密码的 病毒以及Worm.Viking的动态库,所以被 Magister 感染的系统不会再感染这些病毒。 被感染的文件:
病毒感染文件时,会将原文件最后一个节增大,将病毒代码写入被感染文件的代码节,修改入口点指向病毒代码并保存原来的入口点地址,然后将被覆盖的原来文件的代码、病毒的dll、sys文件压缩保存在文件最后一个节中增大的地方。被感染的文件运行时,病毒代码先被运行,释放C:\WINNT\linkinfo.dll和%SystemRoot%\system32\drivers\IsDrv118.sys并加载,然后调用linkinfo.dll的序号为101的函数。病毒代码最后会恢复原文件被覆盖的代码并跳回原文件的入口开始运行原来的文件。
----------------------- 马吉斯(Worm.Magistr)病毒分析报告: “马吉斯”又名为Magistr.24876、W32_[email=Magistr@MM]Magistr@MM[/email]、PE_MAGISTR.A、W32.Magistr.24876,I-Worm.Magistr,能够感染Windows系统,并且具有既是病毒又具有蠕虫的特性,与以往众多的病毒通过邮件方式传播有所不同,“马吉斯”除了以电子邮件附件形式传播,它还可以以复制文件形式传播。
病毒会自动搜索Outlook和Netscape邮箱中的地址簿,并将所有地址保存在Windows目录下的Username.Dat文件中,其中Username是机器名。病毒使用自身的SMTP代码,将染毒邮件发送给所有人,邮件的主题和内容是从硬盘中的文件里获得的,因此主题、内容变幻多端,从而吸引用户打开,其附件是一个染毒文件。
同时“马吉斯”还会试着将自身复制到网上邻居中的共享目录,并在染毒机器(Win9x、NT)重新启动后,修改WIN.INI文件的命令行“rum=”。
一旦病毒被运行,它将在系统目录下复制并感染一个EXE或SCR文件,文件名略有改动。病毒会在注册表中以下位置加载一个键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CFGWIZ31=“C:\WINDOWS\SYSTEM\CFGWZ31.EXE”
病毒还会在WIN.INI文件的命令行“rum=”中加载命令,在下一次计算机启动时,系统目录和其子目录下的EXE、SCR文件都将被感染。病毒会恶意改写并毁掉计算机硬盘上的所有文件,另外它还可以改写CMOS和BIOS闪存,导致系统无法正常引导。
安全专家指出,该病毒的危害十分可怕:由于“马吉斯”主题变幻莫测,并且可以感染可执行文件,传播方式多样,因此一旦遭到该病毒的入侵,用户的计算机系统将受到致命性伤害。因此用户在收到相关邮件时一定要立即删除,千万不可随意开启。 10/11/2007 逆向选择前些天预备考试,在温习书本时,看到一个名词“逆向选择”,书上对此词解释语焉不详,现在考完后到网上细细搜寻资料,学习结果如下: 信息经济学概述 信息经济学(Economics of information)又称情报经济学、信息工业经济学。研究信息这一特殊商品的价值生产、流通和利用以及经济效益的一门新兴学科。是在信息技术不断发展的基础上发展建立起来的,是经济学的重要领域。 信息经济学将信息也视为一种商品的经济形势分析。因为信息的生产成本较高、而复制却很便宜,因此存在信息的商品和服务(如发明、出版、软件等)的市场,经常会出现市场不灵。 研究的主要内容有:信息与经济的关系;评价信息系统和信息价值的标准和方法;信息的经济效果;信息技术引起社会经济结构的变化;信息经济学学科的研究对象、方法等。 信息经济学形成与发展 目前这一理论的发展正方兴未哀,处于当前经济学研究的前沿,鉴于此,1996年度诺贝尔经济学奖授予了英国剑桥大学的詹姆斯·莫里斯教授和美国哥伦比亚大学的威廉·维克里教授,以表彰他们对西方信息经济学研究作出的贡献。 西方信息经济学主要研究内容 从本质上说,西方信息经济学是非对称信息博奕论在经济学上的应用,是微观经济学的新发展。博奕论研究的问题是决策各方的行为发生相互影响时各自的决策以及这些决策所能达到的均衡,而信息经济学研究的问题则是决策各方的行为发生相互影响时存在着非对称信息。在这里,非对称信息指的是某些参与人拥有但另一些参与人不拥有的信息。 信息经济学所讨论的信息即指这种影响双方利益的信息,而不是讲各种可能的信息。不对称信息按内容可以分两类。 一类是双方知识的不对称,指一方不知道另一方诸如能力、身体健康状况等信息,这是外生的、先定的,不是双方当事人行为造成的。对于这类信息不对称,信息经济学称之为隐藏知识、隐藏信息。 第二类不对称信息是指在签订合同时双方拥有的信息是对称的,但签订合同后,一方对另一方的行为无法管理、约束,这是内生的,取决于另一方的行为。对于这类信息不对称,信息经济学称之为隐藏行动。比如在签订合同后,雇员是努力工作还是偷懒,雇主不能自由控制。要解决这个问题,就要实行一种激励机制,使雇员采取正确的行动。比如用什么样的工资制度或福利制度,使雇员努力工作。 在具体工作中,会在两种情况下遇到不对称信息的问题。按不对称信息发生的时间,在事前发生的信息不对称会引起逆向选择问题,而事后发生的信息不对称会引起道德风险问题。 逆向选择和道德风险是信息经济学两大基本研究课题。比如,选择一个企业经理,如果事先董事会不清楚经理的能力,而经理自己清楚,会出现逆向选择问题;如果事先双方都知道经理的能力,但签约后不清楚经理的努力程度,则出现道德风险问题隐藏行动;或者事先都不知道经理的能力,但签约后经理发现了自己的能力,而董事会不清楚,则也是道德风险问题隐藏信息 ,因为经理离任有可能带走客户。 在非对称信息情况下,逆向选择和道德风险是随时可能发生的,西方信息经济学认为,减免的办法就是建立起激励机制和信号传递机制。 二、逆向选择(Adverse choice) 什么是机会主义行为:按照美国经济学家威廉姆逊(Williamson,1985)的定义, 机会主义行为指人们借助不正当的手段谋取自身利益的行为。 什么是信息不完全:缺乏完全信息的情况称为不完全信息。 什么是信息不对称:信息不对称的一般原理:信息不对称是信息不完全的一种情况,即一些人比另一些人具有更多、更及时的有关信息。信息不对称不仅是由于人们常常限于认识能力不足,不可能知道在任何时候、任何地方发生或将要发生的任何情况,更重要的是,由于行为主体为充分了解信息所花费的成本太大,不允许其掌握完全的信息。因此,信息不对称其实就是信息分布或信息获得的不公平性,其主要来源一是信息的不公平性,二是市场内幕交易。 什么是逆向选择: 在现实的经济生活中,存在着一些和常规不一致的现象。本来按常规,降低商品的价格,该商品的需求量就会增加;提高商品的价格,该商品的供给量就会增加。但是,由于信息的不完全性和机会主义行为,有时候 ,降低商品的价格,消费者也不会做出增加购买的选择,提高价格,生产者也不会增加供给的现象。所以,叫“逆向选择”。这是我对这个词字面上的理解。 “逆向选择”的含义与信息不对称和机会主义行为有关,却绝不是这两者所能够涵盖得了的。所以说胡海鸥讲它只能是一种不合理经济制度下所造成市场资源配置扭曲的现象,而不是任何一个市场参与方的事前选择。 |
|
|
