|
|
前段时间,自己服务器上中了病毒luobotebaqiao,这个挂马者也真是垃圾。地震期间,竟然把知名的公益网站也给挂马。其良心真是大大地坏啊。刚开始的挂马代码是:iframe src= width=0 height=0/iframe,iframe src= width=0 height=0/iframe 而现在的挂马代码是iframe src= width=0 height=0/iframe 看到一个论坛上说的是大名鼎鼎的赛迪网也给它袭击了。我在google搜索的时候,出现这个画面。
中毒现象表现为:用最新的360安全卫士查杀不到,装360的防火墙也无济于事,其他的杀毒软件也都查不出来,但重启主机就暂时又不见了,过一段时间就可能又出现了,周六和周日表现比较频繁;
以下是我在网上搜集的资料:
MS06014
realone
realone11
联众0DAY
爆风
没见到内容. 看名字应该是要挂迅雷的
刚刚下了下,以前的记录. 以上几个马. 均跟以前:1.luobotebaqiao.info 中的网马一样.
下载者:
本人刚刚是准备脱壳,再看下这个东西,下的是什么. 结果,搞半天.也没搞出来.
壳脱了,也没看到. 本人又不会用OD 查看下载地址. 准备用嗅探. 嗅下子. 结果,没的工具.
所以. 就直接运行了它. 效果不错.
直接运行w3.exe 后. 首先会调用进程:svchost.exe 用户名: 当前管理员. 非SYSTEM
连接到:222.186.13.200 这个地址.
接着. 会连接到60.191.208.235 下载N 多木马. 木马后缀名:msi .
如果连接失败. 比如: 本人用IPSEC 将这个IP 封掉. 那么.过几分钟后.
会连到:60.191.215.126 将从这里,下载N 多木马. 后缀名:MSI.
这两个下载木马的IP 的关系. : 先调用60.191.208.235 这个服务器.
如果失败, 再调用60.191.215.126 如果,两个都失败了.则关闭连接. 任意一个成功后,
比如: 第一个成功下载下来木马, 完成后关闭连接. 不连第二个.
下载下来的木马,均以 msi 后缀来运行.
文件名: _qosec0.msi _qosec2.msi 这种类型!
从_qosec0.msi 一直到_qosec34.msi . 总共30几个木马.
木马所在地: C:\Documents and Settings\Administrator\Local Settings\Temp
如果,你使用了本人的 软件策略, 那么, 你可以在这里看到. 30几个木马,外加几十个BAT批处理 文件.
用来删除木马文件的. 并且不会中毒.
解决方法:1:在css代码里屏蔽 iframe ,我以前写过文章地址:,你可以写一个网页把css代码写入,然后保存为html文件,在服务器的IIS文档启用文档页脚把刚才的那个页面附加上,这个页面给everyone读取权限。不过用此法的话,会把JS文件屏蔽掉。
2:关闭服务器上无用的端口(建议保留80端口和远程桌面端口。如果有FTP的话可以打开21端口,根据情况定,不过建议还是临时关闭ftp端口),在服务器的防火墙上只开这三个端口。对于杀毒软件可以设置其能访问网络。
目前此病毒已经被列入很多杀毒软件厂商的名单,
此文仅供参考!文章首发:中国IT技术服务网 |
|
官方Q群
发表于 2024-10-7 16:31:15