瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 近来有很多人说中毒了所以随便写了篇东西

1   1  /  1  页   跳转

近来有很多人说中毒了所以随便写了篇东西

近来有很多人说中毒了所以随便写了篇东西

有没有中毒都可以自己先检查一下;以下把一个病毒作出举例
在家上网,刚刚打开新浪网站就弹出一个网站:
  http://www.game591.com/adall.asp?comefrom=adcom
  又上了一下搜狐,竟然也有此网站弹出,看了一下浏览器首页设置.等一切正常.于是开始测试弹出网站的规律,发现这些弹出网站并不是在打开浏览器时出现的,而是在点击链接的时候一块弹出来的,为是在网页中加载了JavaScript的程序,找了半天也没发现,但是却发现一写规律:

  弹出的页面有以下这些地址:
   
  http://www.game591.com/adall.asp?comefrom=adcom
  http://www.moviez88.com/adall.asp?comefrom=adcom
  http://www.kt51.com/adall.asp?comefrom=adcom
  http://www.sex591.com/ucenter/adall.asp?comefrom=adcom
  http://www.tv888.net/adall.asp?comefrom=adcom
  http://www.love920.com/adall.asp?comefrom=adcom

  这些网站是随机弹出的,但是有一个规律就是后面的页面和参数都是“adall.asp?comefrom=adcom”,很显然,是病毒或者是木马,于是我上网搜索关键词“comefrom=adcom”,有意思的是,发现很多人都中了此病毒,但是都以为是更改首页的Javascript程序,用3721上网助手和AD-Aware都不能清除。

  更有意思的是,在病毒的显示页面中还有这样一段代码:

<SCRIPT language=JavaScript>
    function unloadpop()
{
line=0
switch (line)
  {
  case 1: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=1","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 2: window.open("http://www.tv888.net/adall.asp?comefrom=adcom&line=2","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 3: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=3","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 4: window.open("http://www.love920.com/adall.asp?comefrom=adcom&line=4","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 5: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=5","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  default: 
  }
}
</Script>

  意思是,它可以根据不同的参数值在页面退出的时候弹出另外的病毒页面,依次循环。

常规的检查开始:
   
  1、CTRL+ALT+DELETE查看进程

  发现在进程中,如果有一个“msstart.exe”十分怪异,先结束这个进程,然后再到注册表中查找一下它的位置。

  2、查找注册表

  果然,在
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  找到了msstart.exe,它的位置在\winnt\system32\(这个是win2000和win2003系统)下面,删除后。

  3、查找系统盘有没有相同名字的程序

  一般病毒有可以智能复制自己,需要查找还有没有“msstart.exe”文件。经过查找,没有发现:)

  4、上网找寻病毒名称

  这个病毒应该不是新病毒了,所以网上一定有相关信息,先搜索关键词“msstart.exe 病毒”,在网站http://www.xfilt.com/tech/index.htm上找到了查杀它的方法,和我的方法基本一样,呵呵,其实所有的木马病毒手工查杀方法都是一样的。原来这个病毒叫Backdoor.livup。

  5、查找更多病毒信息

  瑞星网站有个栏目叫“病毒资料库”,基本上所有病毒都能从这里找到相关的信息。
  地址是:http://it.rising.com.cn/antivirus/antivirus7.asp
  可惜的是,我输入“Backdoor.livup”关键字,只能查出它有 Backdoor.Livup.c 和 Backdoor.Livup.d 两个变种,没有更多的信息了。

以上是简单的手工查毒方法,请查完后马上打补丁这才是主要的.还有就是.装一个正版的杀毒软件.本人推荐瑞星偶米帮他们做广告......
好了希望大家好好的玩让病毒见鬼去吧~
最后编辑2005-08-20 16:07:34
分享到:
gototop
 

现在有很多人都可能中了这个病毒,就比如打开网页会跳出广告之类的
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT