[历史] 病毒防治办法

sexx

网页挂马是利用了微软的操作系统漏洞，将恶意代码放到网站的文件(网页、图片、音乐、视频、脚本、控件等等)里。不光是管理员有这个能力，广告商、ifame、论坛用户都能做到。

用户访问了带有恶意代码的网页后，就会开始执行恶意代码，将木马、病毒下载至电脑并开始传播。
恶意代码都是隐藏在网页文件里，ie不知情的运行这些文件就会中招。
如果用户打过了该漏洞的补丁，ie则会有所准备，只执行这些文件里的正规部分，跳过恶意代码部分，就不会触发恶意代码，不会去下载病毒文件。所以杀毒软件就不会探测到。这就是有些人报毒有些人不报的原因。
所以防御病毒(病毒攻入)的顺序就是: 安全补丁-->网盾(网页准备下载病毒)-->杀毒软件/网镖(病毒执行/访问网络)
要防止网页挂马，得要赶快打微软的安全补丁，这是防御病毒的第一关


一般的杀毒软件都有漏洞扫描并打安全补丁的功能。
没有杀毒软件的就去装360吧，免费的。360应该有扫描漏洞并打安全补丁的功能，打好以后再杀毒，改密码。。。
(最好不要用任务栏的自动更新，盗版的系统会有问题，不过点下看看无妨，可以看看有多少个安全补丁没装)

根据大家的反馈，病毒好像来源于bwdirectsales.com网站
根据google对此网站的统计：
90 天内对此网站上的 6 张网页进行了测试
发现有 6 张网页在未经用户同意的情况下就会将恶意软件下载并安装到用户的机器中。
上次访问此网站的日期是 2010-03-16，上次在此网站中发现可疑内容的日期是 2010-03-16
恶意软件包括13个恶意脚本、13个木马、13个病毒(漏洞利用)
被成功感染的计算机，平均会多出8个进程/程序

[ 本帖最后由 sexx 于 2010-3-17 12:11 编辑 ]

JK-RO

只想问现在好了没有-.-
木马怕怕啊

莎拉公主

我打过补丁但是没装杀毒软件，我也不知道我的电脑有没有中招。。。。

但是最后一句提到的进程，我的系统进程一个也没多

木金肉丸

原帖由 sexx 于 2010-3-17 14:50 发表


看看是不是小站的问题，只要去别的论坛看看就行了，如果别的论坛也这样就不是小站的问题，是电脑早就中毒了，就是说上任何网站，任何网页后，本机的病毒就会自动给该网页添加木马页面，就是自己给自己挂马

你完全不懂DNS欺骗是什么啊..

喵喵の狗狗

原来是我补丁打过以及我不用ie的缘故啊

xiaoling0003

现在小站又没事了咯

sexx

原帖由 FY776 于 2010-3-17 14:05 发表
多出哪8个进程/程序？

8个那是google的自动统计，就好比是百度的快照，仅供参考

sexx

原帖由 木金肉丸 于 2010-3-17 13:56 发表
有些马未必是主站挂的，通过DNS欺骗也是可以挂马的。

目前的问题就是iframe挂马，和dns没关系

[ 本帖最后由 sexx 于 2010-3-17 19:07 编辑 ]

sexx

访问的 URL:      http://bwdirectsales.com/images/banners/a/ie.html
进程:            "C:\Program Files\Internet Explorer\iexplore.exe"
木马 URL:        
漏洞对象名:      Suspicious.ShellCode.Exploit

访问的 URL:      http://bbs.rohome.net/thread-1031012-2-1.html
进程:            "C:\Program Files\Internet Explorer\iexplore.exe"
木马 URL:        
漏洞对象名:      risks.url(ignored)

第2段的意思是小站的页面含有风险链接，但是仍然继续允许打开小站(ignored)
这个风险链接就是第一段的网址，这个网址能够利用系统漏洞植入木马，不过被拦截了

就是这意思，应该没中毒，不过对已经中了毒的朋友没啥帮助
中了毒的朋友要把杀软的杀毒截图贴一下，看看病毒详细名字，中毒位置，杀软杀不了的话可以提供点意见(因为俺没中毒，所以不提供点信息的话是无法给出详细解决办法的)

FY776

多出哪8个进程/程序？

木金肉丸

有些马未必是主站挂的，通过DNS欺骗也是可以挂马的。

拿黄瓜敲桌子

通篇废话。


直接说勤打补丁就是了，还有，WIN系统的补丁为什么要用第三方软件来打？

什么叫各个软件的补丁更新都不同？搞笑，一知半解就来说教。



真有技术，有那闲工夫瞎扯蛋还不如拦截数据分析出是究竟什么玩意在捣乱来的实在。

bsdtlhy

访问的 URL:      http://bwdirectsales.com/images/banners/a/ie.html
进程:            "C:\Program Files\Internet Explorer\iexplore.exe"
木马 URL:        
漏洞对象名:      Suspicious.ShellCode.Exploit

访问的 URL:      http://bbs.rohome.net/thread-1031012-2-1.html
进程:            "C:\Program Files\Internet Explorer\iexplore.exe"
木马 URL:        
漏洞对象名:      risks.url(ignored)



每一个小站网页都弹出过，交流区交易区情感区水区等等，共330个- -这俩平分数量

都是瑞星弹出的拦截提示，360表示无反应，这俩都是在小站闲逛的时候提示的，不知道为啥第一个的那个URL不一样

[ 本帖最后由 bsdtlhy 于 2010-3-17 13:54 编辑 ]

bsdtlhy

开网页提示有木马，已拦截，瑞星拦截的，全盘扫描也没有毒，木马专杀也没有，这是啥毒，怎么知道中没中