本周,名為9166.biz的惡意網站進入了我們的視線。多個安全論壇關於此問題的求助帖激增,讀者們的舉報信也紛至遝來,特別是一些局域網用戶反映受此站攻擊內部網路混亂。
我們立即對9166.biz做了調查,http://9166.biz/002/002.htm及http://9166.biz/1.htm等多個頁面均掛有病毒。入侵系統後竄改流覽器及HOST檔,利用iframe嵌套代碼導致打開任何網頁時都會先讀取此病毒,導致網速變慢甚至打不開網頁。
通過進一步的分析發現,此病毒還有ARP攻擊行為,局域網內用戶一旦有一臺電腦被入侵後將在全網瘋狂傳播實施ARP欺騙攻擊,垃圾數據四竄,ping網關延遲,網速急劇下降,網內所有電腦都會被感染,殺毒軟體不停報警可是無法徹底清除。
這讓我們想起了不久前肆虐網路的5y5.us、7y7.us和16a.us等惡性病毒,看來這個將伺服器設在境外的犯罪團夥還不死心,又炮製出一個9166.biz繼續危害網路。
解決方法:
由於這類病毒均是由ANI游標漏洞蠕蟲植入的,先下載安裝MS07-17補丁。關閉IE流覽器及系統還原功能,並清空所有臨時檔,刪除HOST檔中的不明網址。並在路由器或IE受限地址中遮罩9166.biz及對應IP。
使用“ARP防火牆”(http://www.onlinedown.net/soft/52718.htm#download)清除並修正被修改的網關MAC地址。
刪除不明啟動項,進入安全模式用360安全衛士清除被植入的惡意插件,殺毒軟體全盤殺毒,如果殺毒軟體無法啟動,注意系統時間是否被非法竄改,最後全面修復IE。
本周其他流氓網站
3G播客網
惡意鏈接: www.2cdma.cn/v?htm?tuitan2cdma
舉報人數:441
危害程度 ★★★
IP:58.52.161.203
利用惡意手段推廣,二級頁面嵌入病毒,彈出廣告窗口。
防範方法:清空IE臨時檔,刪除不明啟動項。進入安全模式用黃山IE修復專家清理,最後全盤殺毒。
jygame88.com
惡意鏈接:http://www.jygame88.com
投訴人數:392
危害程度 ★★★
IP:61.188.38.155
首頁嵌有病毒,二級目錄中藏有盜取網遊“征途”帳戶的木馬。更氣人的是頁面還放置了統計系統,記錄受感染人數及IP地址。
防範方法:關閉系統還原功能,遮罩此站功能變數名稱及IP,刪除不明啟動項,清空臨時檔夾。進入安全模式使用360檔粉碎機強制刪除以下檔(顯示隱藏檔)C:WINDOWSMicrosoft
undll32.exe、C:program filesinternet exploreruse6.dll、C:WINDOWSsystem32dt.dll,用360安全衛士清除並修復被植入的惡意插件及HOST檔,最後全盤殺毒。 |
