Loves7 首页木马发现图解
Author: Hagen.GoO 转载请联系作者
MSN_contact: wantm009@hotmail.com
Keyword: 病毒、木马、黑客
Quote:
有网友在 Loves7 的BBS上反映该站首页被黑植入了木马。浏览首页时,卡巴斯基报 Trojan-Downloader.VBS 毒。
我不是管理员,所以不能简单的重传网页来解决此网页木马。因此使用 Sniffer 的工具(Wireshark/commview),来逐步定位被修改的网页。看下面附图说明:
说明:
1 http://www.loves7.com/friend 的ASP页面里面有SQL注入漏洞,黑客就是从此突破的。
2 其木马服务端123.exe文件是加了EXPRESSOR壳的,我粗略测试了一下,常用的杀毒软件中只有 AntiVir BitDefender VirusBuster 可以查处。Avast AVG Dr.Web F-Prot F-Secure Kaspersky NOD32 Norman Symantec McAfee 等,都无法脱壳查杀。http://www.cgsoftlabs.ro/ 这是EXPRESSOR的官方。
3 之所以楼主的卡巴斯基有报病毒,我猜测是楼主开启卡巴斯基6的主动防御或Internet防御。因此卡巴斯基截获了wyan.htm 中的恶意js脚本,而非木马服务端本身。经过测试,能报 wyan.htm 文件中包含有恶意脚本的常用杀毒软件只有有:ClamAV F-Secure Kaspersky。
没有评论:
发表评论