因为杀毒,导致系统无法进入,只好重装。
该病毒资料如下:
关于服务器被攻击导致众多用户染毒的说明,附专杀工具!
首先,推荐您使用下面的手工杀毒方法来解决该问题,如果您实在看不懂操作步骤,或者根据步骤搞不定,请使用附件中的专杀工具来杀毒(得加强自己的基础知识啊!!)。但在此之前,请务必先看一下本帖2楼的重要说明,否则您的系统可能出现“严重”问题!
9月1日,一名来自北京怀柔的攻击者利用8月份在安全焦点爆出的PHP重大漏洞,成功拿到了54服务器的部分权限,放上了自己准备好的网页木马(最新变种,90%的杀毒软件都没反应),成功对所有访问54master的用户进行了攻击。
接到举报,我在第一时间检查并删除了木马程序,同时打上了由Discuz官方提供的补丁。由于当时上网条件不太好,所以未进行后门检测工作。第二天一大早,又有用户报告访问54有木马提示,我再次被电话吵醒,开始进行第二轮检查,这次检测过程一共持续了六七个小时。攻击者未做出更多的动作,第二次从上来到放完马走人总共不过三五分钟时间,然后就消失掉了。在找到并删除了木马后,我找到了网页木马MS0614 Generator的作者,从他那里我得到了一些思路上的帮助。
昨天早上一上班,我立刻就将访问日志拿下来进行分析,从500M纯文本里终于找到攻击者留下的蛛丝马迹,成功揪出隐藏巧妙的后门程序。经过分析发现,该后门程序是出自安全天使的PHPSPY,进行了简单修改,利用该程序可以对服务器上所有目录进行各种权限允许的操作,比如读写文件等。由于DZ论坛的数据库密码以明文方式写在一个文件中的,攻击者一定知道,所以他也一定拿到了数据库的密码。所以我在第一时间更改了数据库的密码,然后删除了PHPSPY。
这一刻,心中倍感轻松,学习黑客知识n年来,最成功的一次却是抓到一个外行攻击者(可以这么评价他)。
然而事情并没有完,从日志情况和以往统计数据分析,在这个该死的周末,至少有数万名浏览过54master(任何一个页面)的用户因自己的系统未打补丁而受到该木马的攻击,可能有数不清的受害者直到看到这张帖时都不知道自己已经中了那个该死的木马。但54master不能坐视不管,我们要对每一位用户负责,即使只少的可怜的人发现54服务器的这一不正常情况,我们也要帮助所有因此带来木马问题的人!于是偶一边将木马向各大杀毒软件上报,一边做感染实验摸清病毒的底细,并用批处理写出了专杀工具,直到发帖的这一刻,内心才稍微平静下来。
下面要告诉所有的用户,无论你是注册用户还是一名游客,请务必认真关注一下:
感染该木马最明显的特征是你的c:\program files目录下找不到winrar了。虽然你心里很清楚winrar就是装在这个目录下的,但它跑到哪去了呢??实际上是被病毒给加上了“系统”和“隐藏”属性,如果你没有显示系统文件和隐藏文件的话,当然是看不到的。那么我们直接在“运行”里输入c:\program files\winrar进入,发现多了5个文件:
msn.dll和msn.com同样被加上了“系统”和“隐藏”属性,而且msn.dll会插入到Explorer的进程中,其他四个文件可直接删除。另外,该木马可能会从网上下载名为1.exe和2.exe的两个其他病毒,目前我已通知这两个病毒所在的服务器管理员进行处理。
更重要的是,你感染这个病毒因为两个原因,一个是因为你浏览的网页被攻击者放上了木马,另一个重要原因是你的系统并未打上MS06-14漏洞补丁,该漏洞可以导致你在通过浏览器浏览网页时自动下载并执行页面中隐藏的恶意程序。点这里检查你的系统是否存在此漏洞。如果你的系统存在此漏洞,现在亡羊补牢还来的及,要下载补丁和了解漏洞详细情况请到这里:http://www.microsoft.com/china/technet/Security/bulletin/ms06-014.mspx
===================================================================================================
该病毒的手动杀毒方法(推荐使用手工杀毒):
步骤一:
运行regedit打开注册表编辑器,依次打开[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon],在右边窗口中找到Userinit,将其值修改为%systemroot%\syst\userinit.exe, ,请注意最后有个英文的逗号。
步骤二:
首先设置系统文件和隐藏文件可见,然后进入c:\program files\winrar目录,删除可能存在的以下几个文件:msn.com、msn.dll、1.txt、2.txt、internat5.exe、internat1.exe。删除时可能msn.dll文件不允许删除,提示系统正在使用,请结束掉explorer的进程再删除,或者重新启动一下,然后再删除msn.dll。
步骤三:
运行cleanmgr.exe,选择C盘,清理掉所有的系统临时文件。打开IE,依次选择工具——Internet选项——删除临时文件,这样即可清理掉所有的IE临时文件。
步骤四:
检查系统是否存在MS06-14漏洞(点这里检查),如果存在请立刻打上补丁。
