4255.biz的恶意网址,在国内互联网中快速传开。该恶意网站中用到了MS06-014和MS07-017漏洞网页木马来下载病毒,同时当病毒运行后,会下载其他的盗号木马,还包括WinPcap工具,带有ARP攻击,使用整个局域网掉线。根据受感染的用户反映,在浏览网页的时候会自动加入这个恶意网址。
打开该网页后,就可以看到三个恶意网址:
001.htm用到的是MS07-017漏洞的网马;
002.htm用到的是MS06-014漏洞的网马;
003.htm会下载ccc.html(其实是个chm文档)。
这三者的目的,都是为了运行病毒本身。病毒大小15,620 字节,UPack加壳,MD5值为b1e2f5ec9e3b42e8142b3335625f2579,Kaspersky检测为Virus.Win32.Delf.bl
运行后会生成
%windows%\system32\logo_1.exe
%windows%\system32\MCIWACE.INC
%windows%\system32\MCIWACE.DRV
清除方法:
若打齐MS系统补丁,并不感染此病毒,若已经感染可以按以下方法清除。
1、 手工清除方法:使用强删除工具:/view-3665.html,删除以下类似文件。
%windows%\system32\logo_1.exe
%windows%\system32\MCIWACE.INC
%windows%\system32\MCIWACE.DRV
2、建立一个与病毒文件相的目录,将安全权限全部删除,这样以后就不会再这个病毒了。
3、再次运行360安全卫士,看有没有病毒文件残留。
4、重启电脑
若对系统操作不熟练,无法实施手工清除,可以下载方舟广谱病毒疫苗,运行arksafe1.bat后,按1键即可清除。若此病毒变种,可以按9在线升级病毒库,若病毒库也不没有此病毒名,可以参考方舟广谱病毒疫苗中的说明readme.txt,自定义加入病毒名。并给本站留言,我们将及时升级病毒包。
方舟广谱病毒疫苗下载地址:/view-398.html
收藏
推荐
评论(0条)
