恶意网址2117966.net分析及解决方案

新客网 XKER.COM 2008-06-12 来源：新客网搜集整理 收藏本文

　　日前，黑客发起大规模网络攻击，导致互联网上数万个网页被挂马，其中就包括著名安全厂商趋势科技的的网站。虽然大部分网站都已经移除了恶意代码，但是仍有部分网站上的恶意代码还没有被清除。恶意代码试图利用三个系统漏洞和两个应用程序漏洞在用户电脑上置入木马。超级巡警团队提醒大家注意网络安全，及时打补丁。

　　一、恶意网站2117966.net分析：

    3月14日的网络攻击中，大部分网址被插入了这个脚本：http://www.2117966.net/******.js。该脚本中内嵌网页木马http:\\count.lljy.org\*，http:\\count.lljy.org\*内置有5个网页木马，一个统计脚本和另外一个恶意挂马网页。

　　http:\\count.lljy.org\*页面截图：

http:\\count.lljy.org\*页面

　　5个网页木马明分别利用MS06014系统漏洞、MS06067系统漏洞、MS07004系统漏洞、RealPlayer ierpplug.dll ActiveX控件播放列表名称栈溢出漏洞和Yahoo! Music Jukebox AddImage函数ActiveX远程栈溢出漏洞试图在用户机器上置入木马Worm.Win32.AutoRun.das，木马地址：http://count.lljy.org/*/a.exe。另外一个恶意挂马网页利用了同样的五个漏洞试图在用户机器上置入木马Trojan-PSW.Win32.OnLineGames.uzi，木马地址：http://biej8fanwo.a141.71one.com/***/wow.exe。值得一提的是，此次挂事件的网页木马中大量使用了Cuteqq作为变量名，此变量名为暗黑网马常用的变量名。

　　暗黑网马生成器截图：

暗黑网马生成器

　　二、Worm.Win32.AutoRun.das分析：

　　病毒标签：
　　病毒名称：Worm.Win32.AutoRun.das
　　病毒别名：无
　　病毒类型：蠕虫
　　危害级别：3
　　感染平台：Windows
　　病毒大小：25,485(字节)
　　MD5：B7A14F272EA455E969125CA7B01B2E83
　　加壳类型：FSG v2.0 -> bart/xt
    开发工具：Delphi

　　病毒行为：
　　1.复制%System%\urlmon.dll为%System%\XFlower.dll。
　　2.拷贝自身到以下路径：
　　%System%\drivers\disdn\Flower.exe
　　%System%\Flower.exe
　　3.添加IFEO映像劫持项，被劫持的软件有瑞星，金山，nod32等。
　　4.下载木马并运行。木马地址：
　　http://count.lljy.org/*/myself.exe
　　http://count.lljy.org/*/servstr.exe
　　http://count.lljy.org/*/8.exe

　　三、解决方案

　　推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。

　　手工清除方法：

　　1.使用超级巡警暴力删除工具直接杀死该病毒。

　　2.修复文件映象劫持。打开超级巡警，点工具，选择系统修复，选中修复映象劫持，修复即可。

　　3.建议用户使用超级巡警的恶意网站屏蔽功能屏蔽count.lljy.org、www.2117966.net和biej8fanwo.a141.71one.com。

　　四、安全建议

　　1.立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。

　　2.根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。

　　3.使用超级巡警的补丁检查功能，及时安装系统补丁及第三方应用程序补丁。

　　4.及时更新常用软件，尤其是聊天工具。

　　5.不要使用IE内核的浏览器。

　　6.不要随便打开不明来历的电子邮件，尤其是邮件附件。

　　7.不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超级巡警屏蔽恶意网站。

　　8.不要轻易打开即时通讯工具中发来的链接或可执行文件。
　　   
　　注意：
　　%System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它：
　　%SystemDrive% 　　     　　 系统安装的磁盘分区
　　%SystemRoot% = %Windir% 　　WINDODWS系统目录
　　%ProgramFiles%　 　 　　　　应用程序默认安装目录
　　%AppData% 　　     　　     应用程序数据目录
　　%CommonProgramFiles%　　    公用文件目录
　　%HomePath% 　　     　　    当前活动用户目录
　　%Temp% =%Tmp% 　　     　　 当前活动用户临时目录
　　%DriveLetter% 　　     　　 逻辑驱动器分区
　　%HomeDrive% 　　　     　　 当前用户系统所在分区 

• ·jsnndya.exe，gozowzeuisnxd.exe，dkzuimwvx.exe
• ·恶意网址2117966.net分析及解决方案
• ·还我清净 三招两式抵制IE顽固病毒
• ·手工清理C:\windows\alg.exe病毒
• ·alg.exe的作用
• ·alg.exe是什么进程文件？如何删除alg病毒？
• ·orz.exe病毒的清理办法
• ·orz.exe病毒文件简单见解
• ·U盘病毒MS-DOS.com替换系统文件修改注册表
• ·亲身体验Flash Player漏洞导致系统中木马
• ·删除U盘顽固病毒 还Linux一个清静的空间
• ·infostealer病毒清除方法
• ·清除autorun病毒的批处理文件代码
• ·略施小计 彻底清除系统中的顽固病毒程序