本周,名為9166.biz的惡意網站進入了我們的視線。多個安全論壇關於此問題的求助帖激增,讀者們的舉報信也紛至沓來,特別是一些局域網用戶反映受此站攻擊內部網絡混亂。
我們立即對9166.biz做了調查,http://9166.biz/002/002.htm及http://9166.biz/1.htm等多個頁面均掛有病毒。入侵系統後竄改浏覽器及HOST文件,利用iframe嵌套代碼導致打開任何網頁時都會先讀取此病毒,導致網速變慢甚至打不開網頁。
通過進一步的分析發現,此病毒還有ARP攻擊行為,局域網內用戶一旦有一台電腦被入侵後將在全網瘋狂傳播實施ARP欺騙攻擊,垃圾數據四竄,ping網關延遲,網速急劇下降,網內所有電腦都會被感染,殺毒軟件不停報警可是無法徹底清除。
這讓我們想起了不久前肆虐網絡的5y5.us、7y7.us和16a.us等惡性病毒,看來這個將服務器設在境外的犯罪團伙還不死心,又炮制出一個9166.biz繼續危害網絡。
解決方法:
由於這類病毒均是由ANI光標漏洞蠕蟲植入的,先下載安裝MS07-17補丁。關閉IE浏覽器及系統還原功能,並清空所有臨時文件,刪除HOST文件中的不明網址。並在路由器或IE受限地址中屏蔽9166.biz及對應IP。
使用“ARP防火牆”(http://www.onlinedown.net/soft/52718.htm#download)清除並修正被修改的網關MAC地址。tw.WIngWit.cOm
刪除不明啟動項,進入安全模式用360安全衛士清除被植入的惡意插件,殺毒軟件全盤殺毒,如果殺毒軟件無法啟動,注意系統時間是否被非法竄改,最後全面修復IE。
本周其他流氓網站
3G播客網
惡意鏈接: www.2cdma.cn/v?htm?tuitan2cdma
舉報人數:441
危害程度 ★★★
IP:58.52.161.203
利用惡意手段推廣,二級頁面嵌入病毒,彈出廣告窗口。
防范方法:清空IE臨時文件,刪除不明啟動項。進入安全模式用黃山IE修復專家清理,最後全盤殺毒。
jygame88.com
惡意鏈接:http://www.jygame88.com
投訴人數:392
危害程度 ★★★
IP:61.188.38.155
首頁嵌有病毒,二級目錄中藏有盜取網游“征途”賬戶的木馬。更氣人的是頁面還放置了統計系統,記錄受感染人數及IP地址。
防范方法:關閉系統還原功能,屏蔽此站域名及IP,刪除不明啟動項,清空臨時文件夾。進入安全模式使用360文件粉碎機強制刪除以下文件(顯示隱藏文件)C:\WINDOWS\Microsoft\rundll32.exe、C:\program files\internet explorer\use6.dll、C:\WINDOWS\system32\dt.dll,用360安全衛士清除並修復被植入的惡意插件及HOST文件,最後全盤殺毒。
From:http://tw.wingwit.com/Article/Network/201309/428.html