問題提出和癥狀：最近上網(wǎng)碰到這個(gè)網(wǎng)站(4255.biz)，無意中了它的招，之后每當(dāng)訪問其他網(wǎng)站的時(shí)候，都會(huì)從4255.biz 上下載數(shù)據(jù)，并且其他網(wǎng)站都不能下載完整，不能正常訪問，郁悶了好久，尤其是帶框架的網(wǎng)站干脆就出不來。


（該圖為諾頓報(bào)毒和處理結(jié)果）
分析：(此分析內(nèi)容為C.I.S.R.T.博客小陌摘錄)
打開該網(wǎng)頁后，就可以看到三個(gè)惡意網(wǎng)址：


001.htm用到的是MS07-017漏洞的網(wǎng)馬；
002.htm用到的是MS06-014漏洞的網(wǎng)馬；
003.htm會(huì)下載ccc.html（其實(shí)是個(gè)chm文檔）。

這三者的目的，都是為了運(yùn)行病毒本身。病毒大小15,620 字節(jié)，UPack加殼，MD5值為b1e2f5ec9e3b42e8142b3335625f2579，Kaspersky檢測(cè)為Virus.Win32.Delf.bl

運(yùn)行后會(huì)生成

%windows%\system\logo_1.exe
%windows%\system\MCIWACE.INC
%windows%\system\MCIWACE.DRV

會(huì)下載一個(gè)非exe文檔：

http://35623.com/upwina.exe
解決辦法：

　　第一步：修補(bǔ)該漏洞補(bǔ)?。∕S06-014和MS07-017漏洞）。他們的下載地址：
　　MS06-014漏洞補(bǔ)丁下載地址：http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
　　MS07-017漏洞補(bǔ)丁下載地址：http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
如果以上連接不能下載安裝(可能盜版不能下載安裝，建議使用360安全衛(wèi)士進(jìn)行下載安裝。下

　　第二步：關(guān)閉系統(tǒng)還原，使用360安全衛(wèi)士清理IE臨時(shí)文件，系統(tǒng)臨時(shí)文件(隨便把惡意軟件/插件也清理掉)。

　　第三步：使用費(fèi)爾木馬強(qiáng)制刪除器工具刪除以下文件：

Code:
windows\system\logo_1.exe
windows\system\MCIWACE.INC
windows\system\MCIWACE.DRV
windows\system\ieframe.dll 


　　第四步：使用最新病毒庫的殺毒軟件進(jìn)行全面查殺硬盤


　　關(guān)于局域網(wǎng)用戶，建議下載Antiarp(ARP防火墻)進(jìn)行處理即可。

最新評(píng)論