扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
问题提出和症状:最近上网碰到这个网站(4255.biz),无意中了它的招,之后每当访问其他网站的时候,都会从4255.biz 上下载数据,并且其他网站都不能下载完整,不能正常访问,郁闷了好久,尤其是带框架的网站干脆就出不来。
(该图为诺顿报毒和处理结果)
分析:(此分析内容为C.I.S.R.T.博客小陌摘录)
打开该网页后,就可以看到三个恶意网址:
001.htm用到的是MS07-017漏洞的网马;
002.htm用到的是MS06-014漏洞的网马;
003.htm会下载ccc.html(其实是个chm文档)。
这三者的目的,都是为了运行病毒本身。病毒大小15,620 字节,UPack加壳,MD5值为b1e2f5ec9e3b42e8142b3335625f2579,Kaspersky检测为Virus.Win32.Delf.bl
运行后会生成
%windows%\system\logo_1.exe
%windows%\system\MCIWACE.INC
%windows%\system\MCIWACE.DRV
会下载一个非exe文档:
http://35623.com/upwina.exe
解决办法:
第一步:修补该漏洞补丁(MS06-014和MS07-017漏洞)。他们的下载地址:
MS06-014漏洞补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017漏洞补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
如果以上连接不能下载安装(可能盗版不能下载安装,建议使用360安全卫士进行下载安装。下
第二步:关闭系统还原,使用360安全卫士清理IE临时文件,系统临时文件(随便把恶意软件/插件也清理掉)。
第三步:使用费尔木马强制删除器工具删除以下文件:
Code:
windows\system\logo_1.exe
windows\system\MCIWACE.INC
windows\system\MCIWACE.DRV
windows\system\ieframe.dll
第四步:使用最新病毒库的杀毒软件进行全面查杀硬盘
关于局域网用户,建议下载Antiarp(ARP防火墙)进行处理即可。
本文来自: 脚本之家(www.jb51.net) 详细出处参考:http://www.jb51.net/article/9773.htm
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者