挂马玩花样 定制时间挟持

计算机安全咨询中心（ [url]www.kingzoo.com[/url] ）反病毒斗士报:
      
       今天接到北京XX电气工业有限公司的网管求救,说该公司的web服务器被挂马了,根据他提供的地址,检查了下,初开始没有发现任何情况,于是怀疑是否是该电脑问题,让其检查下其他站点,没有问题.在做进一步分析的时候,发现了其中的蹊跷:

Snap1.gif (6.36 KB)

2008-8-28 15:58

这个挂马利用时间去执行脚本,实在狡猾.

挂马的地址是:hxxp://786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org

病毒为:hxxp://786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org/dl.exe  (avp报为:Trojan-Downloader.JS.SWFlash.v)

是网站被黑了,还是网关被挟持了?

让网管到服务器抓取几个文件过来,分析了站点代码,发现不是直接黑站的,因为在有关检查的文件那里没有发现上面的插入代码.排除了被黑站的可能性.

经过了解,这个服务器是win2003的,在这个服务器中还有金蝶等应用软件,打开金蝶的时候也会有提示,那就可以怀疑是iis被挟持了,检查iis的isapi,没有发现任何情况,

那么是否是病毒引起的呢?这个怀疑立即得到了肯定,因为在其服务器中发现了几个可疑的程序:

20071204_144fb8360859daaf6c60yu1u0qUrLr5C.jpg (40.18 KB)

2008-8-29 13:06

经过检测,这几个文件就是病毒文件,是挟持iis的病毒源来的.

斩妖除魔

1、重启机器，按F8进到安全模式下
2、运用sreng删除对应的病毒加载run
3、删除sysrtem32下的病毒文件：

tsd32.dll、
tscupgrd.exe
tsdiscon.exe、
tsddd.dll、
tskill.exe


最后，随便做了个坏事,把此木马地址加到GFW去