[历史] 病毒防治办法

sexx

网页挂马是利用了微软的操作系统漏洞，将恶意代码放到网站的文件(网页、图片、音乐、视频、脚本、控件等等)里。不光是管理员有这个能力，广告商、ifame、论坛用户都能做到。

用户访问了带有恶意代码的网页后，就会开始执行恶意代码，将木马、病毒下载至电脑并开始传播。
恶意代码都是隐藏在网页文件里，ie不知情的运行这些文件就会中招。
如果用户打过了该漏洞的补丁，ie则会有所准备，只执行这些文件里的正规部分，跳过恶意代码部分，就不会触发恶意代码，不会去下载病毒文件。所以杀毒软件就不会探测到。这就是有些人报毒有些人不报的原因。
所以防御病毒(病毒攻入)的顺序就是: 安全补丁-->网盾(网页准备下载病毒)-->杀毒软件/网镖(病毒执行/访问网络)
要防止网页挂马，得要赶快打微软的安全补丁，这是防御病毒的第一关


一般的杀毒软件都有漏洞扫描并打安全补丁的功能。
没有杀毒软件的就去装360吧，免费的。360应该有扫描漏洞并打安全补丁的功能，打好以后再杀毒，改密码。。。
(最好不要用任务栏的自动更新，盗版的系统会有问题，不过点下看看无妨，可以看看有多少个安全补丁没装)

根据大家的反馈，病毒好像来源于bwdirectsales.com网站
根据google对此网站的统计：
90 天内对此网站上的 6 张网页进行了测试
发现有 6 张网页在未经用户同意的情况下就会将恶意软件下载并安装到用户的机器中。
上次访问此网站的日期是 2010-03-16，上次在此网站中发现可疑内容的日期是 2010-03-16
恶意软件包括13个恶意脚本、13个木马、13个病毒(漏洞利用)
被成功感染的计算机，平均会多出8个进程/程序

[ 本帖最后由 sexx 于 2010-3-17 12:11 编辑 ]

sexx

当然要全打。。。不止利用了一个漏洞
打补丁时候软件也有提示漏洞的紧急性的，金山就分紧急和重要、低风险

sexx

补丁说明里含有这样内容的，就要打：

1. 现已确认有一个问题，通过身份验证的远程攻击者可能会利用此问题危及您的系统安全并获取对该系统的控制权。您可以通过安装本 Microsoft 更新程序来保护您的系统不受侵害。安装本更新程序之后，可能必须重新启动系统。

复制代码

sexx

没必要的，有多有少只是每个杀软更新的早晚问题，病毒一般利用的都是几个月前的漏洞，所以也不用急得
有的杀软不提供某些补丁可能是觉得没必要，或者对系统有负面影响

[ 本帖最后由 sexx 于 2010-3-17 12:25 编辑 ]

sexx

没人说中了什么病毒啊，需要给个杀软的详细截图病毒详细资料，才能知道怎么杀阿，另外推荐国产杀软呵呵

不打安全补丁的话不开网站也会中毒的，只要连在网络上就会被攻击

sexx

访问的 URL:      http://bwdirectsales.com/images/banners/a/ie.html
进程:            "C:\Program Files\Internet Explorer\iexplore.exe"
木马 URL:        
漏洞对象名:      Suspicious.ShellCode.Exploit

访问的 URL:      http://bbs.rohome.net/thread-1031012-2-1.html
进程:            "C:\Program Files\Internet Explorer\iexplore.exe"
木马 URL:        
漏洞对象名:      risks.url(ignored)

第2段的意思是小站的页面含有风险链接，但是仍然继续允许打开小站(ignored)
这个风险链接就是第一段的网址，这个网址能够利用系统漏洞植入木马，不过被拦截了

就是这意思，应该没中毒，不过对已经中了毒的朋友没啥帮助
中了毒的朋友要把杀软的杀毒截图贴一下，看看病毒详细名字，中毒位置，杀软杀不了的话可以提供点意见(因为俺没中毒，所以不提供点信息的话是无法给出详细解决办法的)

sexx

原帖由 木金肉丸 于 2010-3-17 13:56 发表
有些马未必是主站挂的，通过DNS欺骗也是可以挂马的。

目前的问题就是iframe挂马，和dns没关系

[ 本帖最后由 sexx 于 2010-3-17 19:07 编辑 ]

sexx

原帖由 FY776 于 2010-3-17 14:05 发表
多出哪8个进程/程序？

8个那是google的自动统计，就好比是百度的快照，仅供参考