昨天在家上網(wǎng),剛剛打開新浪網(wǎng)站就彈出一個網(wǎng)站:
http://www.game591.com/adall.asp?comefrom=adcom
心想,這個網(wǎng)站給新浪多少錢,竟然全站彈出?又上了一下搜狐,竟然也有此網(wǎng)站彈出,奇怪了,難道是病毒?于是我看了一下瀏覽器首頁設(shè)置,沒錯啊,是我自己的網(wǎng)站“西部E網(wǎng) http://virtualinteriordefine.com”啊,難道藏在注冊表里面?我找到IE注冊表中存放默認(rèn)首頁和搜索頁的位置,也沒有啊?
計算機(jī)裝了ZA和NAV都沒有警報,奇怪了!
我暈!于是我開始測試彈出網(wǎng)站的規(guī)律,發(fā)現(xiàn)這些彈出網(wǎng)站并不是在打開瀏覽器時出現(xiàn)的,而是在我點擊鏈接的時候一塊彈出來的,一開始我以為是在網(wǎng)頁中加載了JavaScript的程序,找了半天也沒發(fā)現(xiàn),但是卻發(fā)現(xiàn)一寫規(guī)律:
彈出的頁面有以下這些地址:
http://www.game591.com/adall.asp?comefrom=adcom
http://www.moviez88.com/adall.asp?comefrom=adcom
http://www.kt51.com/adall.asp?comefrom=adcom
http://www.sex591.com/ucenter/adall.asp?comefrom=adcom
http://www.tv888.net/adall.asp?comefrom=adcom
http://www.love920.com/adall.asp?comefrom=adcom
這些網(wǎng)站是隨機(jī)彈出的,但是有一個規(guī)律就是后面的頁面和參數(shù)都是“adall.asp?comefrom=adcom”,很顯然,是病毒或者是木馬,于是我上網(wǎng)搜索關(guān)鍵詞“comefrom=adcom”,有意思的是,發(fā)現(xiàn)很多人都中了此病毒,但是都以為是更改首頁的Javascript程序,用3721上網(wǎng)助手和AD-Aware都不能清除。
更有意思的是,在病毒的顯示頁面中還有這樣一段代碼:
<SCRIPT language=JavaScript>
function unloadpop()
{
line=0
switch (line)
{
case 1: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=1","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 2: window.open("http://www.tv888.net/adall.asp?comefrom=adcom&line=2","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 3: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=3","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 4: window.open("http://www.love920.com/adall.asp?comefrom=adcom&line=4","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 5: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=5","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
default:
}
}
</Script>
意思是,它可以根據(jù)不同的參數(shù)值在頁面退出的時候彈出另外的病毒頁面,依次循環(huán)。
常規(guī)的檢查開始:
1、CTRL+ALT+DELETE查看進(jìn)程
發(fā)現(xiàn)在進(jìn)程中,有一個“msstart.exe”十分怪異,先結(jié)束這個進(jìn)程,然后再到注冊表中查找一下它的位置。
2、查找注冊表
果然,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
找到了msstart.exe,它的位置在\winnt\system32\(這個是win2000和win2003系統(tǒng))下面,刪除后。
3、查找系統(tǒng)盤有沒有相同名字的程序
一般病毒有可以智能復(fù)制自己,需要查找還有沒有“msstart.exe”文件。經(jīng)過查找,沒有發(fā)現(xiàn):)
4、上網(wǎng)找尋病毒名稱
這個病毒應(yīng)該不是新病毒了,所以網(wǎng)上一定有相關(guān)信息,先搜索關(guān)鍵詞“msstart.exe 病毒”,在網(wǎng)站http://www.xfilt.com/tech/index.htm上找到了查殺它的方法,和我的方法基本一樣,呵呵,其實所有的木馬病毒手工查殺方法都是一樣的。原來這個病毒叫Backdoor.livup。
5、查找更多病毒信息
瑞星網(wǎng)站有個欄目叫“病毒資料庫”,基本上所有病毒都能從這里找到相關(guān)的信息。
地址是:http://it.rising.com.cn/antivirus/antivirus7.asp
可惜的是,我輸入“Backdoor.livup”關(guān)鍵字,只能查出它有 Backdoor.Livup.c 和 Backdoor.Livup.d 兩個變種,沒有更多的信息了。
因此,icech趕快寫出一篇文章,以后只要朋友們遇到我說的類似地址,就快快查找一下自己是不是已經(jīng)中了木馬病毒了。