樹樹在調查中發現,打開惡意頁面http://7y7.us/1.htm後殺毒軟件報告發現病毒。深入分析後發現在網站Sign目錄中存有大量木馬下載者,名稱分別為csrss.exe、smss.exe、IEXPLORE.EXE、svchost32.exe、ctfmon.exe、mms.exe等,企圖仿冒系統進程混淆視聽。
這與前段時間曝光的4255.biz一樣都是利用了微軟MS06-014和MS07-017漏洞下載木馬,並實施ARP欺騙攻擊,同時還會通過閃存、MP3等移動存儲工具傳播。由於此惡意網站服務器托管於美國,目前依然在頻繁更新病毒以逃避殺毒軟件查殺。
解決方法:大家應盡快安裝上述系統補丁,建議網管及普通用戶將此域名和IP地址添加到路由器或IE受限地址欄中予以屏蔽,受感染的用戶請進入安全模式刪除硬盤(移動存儲設備)根目錄中的Autorun.inf及Ghost.pif文件,然後用殺毒軟件全盤掃描。
本周其他流氓網站
12rr.com
惡意鏈接: http://12rr.com/1.htm
投訴人數:320
危害程度 ★★★★
IP:61.152.157.106
虛假空殼網站,頁面掛有惡意程序竄改用戶系統,並利用網頁統計器調查受感染人數及地域分布,根據其統計數據預測感染網民已達數萬人。tW.WinGwIt.COm
解決方法:在IE受限訪問地址中屏蔽此域名及IP,360安全衛士已可將其清除,請先刪除IE臨時文件夾,進入安全模式清理。
YCDY另類娛樂
惡意鏈接:http://www.ycdy.com
舉報人數:169
危害程度 ★★★☆
IP:61.172.249.215
利用系統漏洞,首頁掛有數個木馬及腳本病毒,竄改系統。在K1目錄中更隱藏著大量病毒。
解決方法:先安裝MS07-017補丁,刪除IE臨時文件夾,進入安全模式用殺毒軟件查殺,注意禁用未知啟動項。
造愛網絡
惡意鏈接:http://www.zqqa.com
舉報人數:43
危害程度 :★★★
IP:125.65.110.169
頁面掛有病毒名為Script.HttpDownloader.i的木馬下載器及惡意廣告程序,其提供的QQ空間代碼具有潛在危險性。
解決方法:在IE受限地址欄中屏蔽此域名及IP,QQ空間用戶注意如鏈接有此站提供的代碼應盡早刪除以免中招。
From:http://tw.wingwit.com/Article/Network/201309/435.html