引用:
|
作者joe.oo
光是這一個URL 就有木馬了,
它應該是利用 msadco.dll 的嚴重漏洞 (Microsoft 安全性公告 MS06-014)
讓你一瀏覽就隱藏下載 http://www.ezhoo.com/80888/ms.exe
然後這個 ms.exe 就開始肆虐地下載木馬程式,並部署它要的環境.
這個 ms.exe 好像很狡猾,除非能反組譯它,要不然不知道它搞了什麼,
寄給防毒公司不知道有沒有用,
建議你還是先把源頭斷了, *.ezhoo.com 全部擋掉, 然後快去安全性更新.
另外它的javascript 中有寫到一個URL "http://www.k369.com/" ,
不知道是搞啥的,不管它,一樣擋掉.
然後再來想辦法抓毒.
|
剛已經去更新 MS06-014 的檔案
現在還是要等 看狀況怎樣
或者是網頁綁架之類的
而目前我在電腦裡搜尋了 ms.exe 和 3.exe
都沒有找到檔案
不知道是不是他下載完後 自己偷偷換了檔名
因為現在每次開機 那個 win.ini 的檔案還是存在
ps:我也不知道是不是逛網站的原因
因為我電腦開著給他下載 早上起來後 問題就出來了
引用:
|
作者A.C
線上掃瞄抓到的病毒判定也是 W32.Looked.AH ?
|
1.Infected: Trojan-Clicker.HTML.Agent.a
這個是網頁跳出時抓到的 當場被砍
2.Infected: Trojan-Downloader.Win32.Agent.ip
這個放在 Norton AntiVirus\Quarantine\797828B9.exe
諾頓隔離所 之後我也去隔離所砍了他
以下是我自己的想法
一切的一切 都是從那個 win.ini 的檔案開始
他先連出去 然後載了東西回來
而那些東西 引發了現在的一堆病發症
包括一些怪異的木馬 和網頁綁架等
而現在那個檔案
我還是不知道他是怎麼在每次重開機跑出來
之前我有附了三張圖片
那是執行了 msconfig 時的圖片檔
不知道裡面有沒有比較怪異的執行程式
想說 或許可以先從那邊找出來
要不然現在真的不知道該怎麼辦了
