问题提出和症状:最近上网碰到这个网站(4255.biz),无意中了它的招,之后每当访问其他网站的时候,都会从4255.biz上下载数据,并且其他网站都不能下载完整,不能正常访问,郁闷了好久,尤其是带框架的网站干脆就出不来。
(该图为诺顿报毒和处理结果)
分析:(此分析内容为C.I.S.R.T.博客小陌摘录)
打开该网页后,就可以看到三个恶意网址:
001.htm用到的是MS07-017漏洞的网马;
002.htm用到的是MS06-014漏洞的网马;
003.htm会下载ccc.html(其实是个chm文档)。
这三者的目的,都是为了运行病毒本身。病毒大小15,620字节,UPack加壳,MD5值为b1e2f5ec9e3b42e8142b3335625f2579,Kaspersky检测为Virus.Win32.Delf.bl
运行后会生成
%windows%systemlogo_1.exe
%windows%systemMCIWACE.INC
%windows%systemMCIWACE.DRV
会下载一个非exe文档:
http://35623.com/upwina.exe
解决办法:
第一步:修补该漏洞补丁(MS06-014和MS07-017漏洞)。他们的下载地址:
MS06-014漏洞补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017漏洞补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
如果以上连接不能下载安装(可能盗版不能下载安装,建议使用360安全卫士进行下载安装。下
第二步:关闭系统还原,使用360安全卫士清理IE临时文件,系统临时文件(随便把恶意软件/插件也清理掉)。
第三步:使用费尔木马强制删除器工具删除以下文件:
Code:
windowssystemlogo_1.exe
windowssystemMCIWACE.INC
windowssystemMCIWACE.DRV
windowssystemieframe.dll
第四步:使用最新病毒库的杀毒软件进行全面查杀硬盘
关于局域网用户,建议下载Antiarp(ARP防火墙)进行处理即可。