计算机安全咨询中心(
[url]www.kingzoo.com[/url]
)反病毒斗士报:
今天接到北京XX电气工业有限公司的网管求救,说该公司的web服务器被挂马了,根据他提供的地址,检查了下,初开始没有发现任何情况,于是怀疑是否是该电脑问题,让其检查下其他站点,没有问题.在做进一步分析的时候,发现了其中的蹊跷:
今天接到北京XX电气工业有限公司的网管求救,说该公司的web服务器被挂马了,根据他提供的地址,检查了下,初开始没有发现任何情况,于是怀疑是否是该电脑问题,让其检查下其他站点,没有问题.在做进一步分析的时候,发现了其中的蹊跷:
这个挂马利用时间去执行脚本,实在狡猾.
挂马的地址是:hxxp://786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org
病毒为:hxxp://786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org/dl.exe (avp报为:Trojan-Downloader.JS.SWFlash.v)
是网站被黑了,还是网关被挟持了?
让网管到服务器抓取几个文件过来,分析了站点代码,发现不是直接黑站的,因为在有关检查的文件那里没有发现上面的插入代码.排除了被黑站的可能性.
经过了解,这个服务器是win2003的,在这个服务器中还有金蝶等应用软件,打开金蝶的时候也会有提示,那就可以怀疑是iis被挟持了,检查iis的isapi,没有发现任何情况,
那么是否是病毒引起的呢?这个怀疑立即得到了肯定,因为在其服务器中发现了几个可疑的程序:
经过检测,这几个文件就是病毒文件,是挟持iis的病毒源来的.
斩妖除魔
1、重启机器,按F8进到安全模式下
2、运用sreng删除对应的病毒加载run
3、删除sysrtem32下的病毒文件:
tsd32.dll、
tscupgrd.exe
tsdiscon.exe、
tsddd.dll、
tskill.exe
最后,随便做了个坏事,把此***地址加到GFW去
转载于:https://blog.51cto.com/kingzoo/95561
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
