|
|
JEECMS上传bug 追杀sfc008木马 灰鸽子官网论坛www.huigezi.org
下了个飞秋等几个小软件,没想竟然中毒了。
一、病毒特征
这个漏洞很简单,上传没有过滤,注册账号之后去上传头像,jsp 都可以,会提示上传类型错误,弹出对话框,不用管它,关闭弹窗,点击右键查看源代码,你的代码已经上传上了。
上传后的格式为:
http://www.xxxx.com /online/upload/M0000002012070500007/1349769169860.jsp?o=vLogin
1、机器变得非常的慢,IE网页首页被自动定位到一个sfc网站:灰鸽子下载
http://www.xxx008.com/?ie98-WZ
(编者注:如果是这个网站利用木马病毒做宣传,真实卑鄙之极,人人得而诛之)
2、同时桌面上出现了几个IE超级链接,如“淘宝购物”、“好看电影”,"Internet Explorer"等5个。直接删除删除不掉。
3、同时在c:\windows\system32下产生两个文件夹,文件夹名不规则:qfdpiaebbu,todqcgshvk,内各放一explore.exe和smss.exe木马文件。
c:\EEQQ,包含两个病毒文件:EEQ.exe,QQE.exe。
4、机器上的文件夹被隐藏,同时创建与该文件夹同一名称的木马文件,该木马文件图标为文件夹样式,但不显示扩展名,外观上和原有被冒充的文件夹一模一样。但若点击该木马文件则病毒文件得以运行,其巧妙之处除了偷梁换柱之外,点病毒文件亦能打开对应文件夹,不仔细看很容易被迷惑住。例如:
原有X目录:
文件夹A、文件夹B
病毒做手脚后,X目录文件分布:
文件夹A、文件夹B 注:设置隐藏属性,若文件夹选项设置为不显示隐藏文件,则该原文件夹不可见。
文件夹A.exe、文件夹B.exe 注:产生与原有文件夹同名称的木马病毒文件,但可执行文件的扩展名被隐藏。
5、病毒文件大小为86557。
6、资源管理器搜索功能被屏蔽,点搜索,搜索面板一片空白,真叫人欲哭无泪。
二、手工清除办法
1、使用ICESWORD 等杀毒工具,在进程中杀掉c:\windows\system32\qfdpiaebbu\explore.exe,c:\windows\system32\todqcgshvk\smss.exe进程;接着清除c:\windows\system32\qfdpiaebbu\explore.exe,c:\windows\system32\todqcgshvk\smss.exe文件,c:\EEQQ目录。
2、让exe文件的扩展名总是显示,方法如下:
打开 注册表编辑器,在 HKEY_CLASSES_ROOT 中找到exefile(不是.exe),选中exefile,在右边窗口空白处点右键,选择“新建→字符串值”,设置名称为AlwaysShowExt,然后重启explorer即可。反之,如果设置名称为NeverShowExt,就可以让exe文件扩展名从不显示。
3、删除木马自启动设置:
1) 删除注册表中的自启动项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,木马设置了机器重启动后对各种杀毒软件的剿杀;
2)开始菜单-》启动内的链接
以上操作均使用ICESWORD工具进行
4、使用工具剿杀假冒病毒文件。病毒特征为可执行文件,大小为86557,利用该特征可以做一小程序扫描系统中所有的文件夹,找到病毒文件后执行删除。一般程序员均可以自己试试,编写一个扫描、查杀工具。先遍历文件夹,发现为可执行文件后,检测大小是否为86557,若是则删除,然后递归执行。
这里附一个用Perl脚本写的查杀工具,可修改查杀路径:变量$path1
use File::stat;
print "Scan starting ...\n";
my $path1="L:\\";
deleteit($path1,"*");
sub deleteit{
my $path = $_[0];
my $ext = $_[1];
chdir($path);
if(my @name=glob("$ext")){
#print "test is ok!find ".@name."Files.\n";
my $item;
foreach $item(@name){
$_ = $item;
if(-d $item){
print ">>>$path\\$item\\\n";
&deleteit("$path\\$item\\","$ext");
chdir($path); #The most key line, recover the old work directory
} elsif(-x $item){
my $fileinfo = stat($item);
my $size = $fileinfo->size;
print $size;
if($size == 86557){
print $item,"<executable>?\n";
system("del -f \"$item\"");
}
}
}
}
}
use File::stat;
print "Scan starting ...\n";
灰鸽子使用教程
my $path1="L:\\";
deleteit($path1,"*");
sub deleteit{
my $path = $_[0];
my $ext = $_[1];
chdir($path);
if(my @name=glob("$ext")){
#print "test is ok!find ".@name."Files.\n";
my $item;
foreach $item(@name){
$_ = $item;
if(-d $item){
print ">>>$path\\$item\\\n";
&deleteit("$path\\$item\\","$ext");
chdir($path); #The most key line, recover the old work directory
} elsif(-x $item){
my $fileinfo = stat($item);
my $size = $fileinfo->size;
print $size;
if($size == 86557){
print $item,"<executable>?\n";
system("del -f \"$item\"");
}
}
}
}
}
Perl运行环境下载地址:http://downloads.activestate.com/ActivePerl/releases/
5、资源管理器搜索功能恢复
在开始-》运行中执行 regsvr32 jscript.dll,然后杀掉explore.exe进程,重新启动C:\WINDOWS\explore.exe进程即可。
6、桌面图标的清除
使用ICESWORED工具清除,找到C:\Documents and Settings\All Users\桌面和C:\Documents and Settings\<当前用户名>\桌面目录,清理病毒连接。
在管理模板》控制面板》显示》隐藏“桌面”选中项卡,点自定义桌面按钮-》桌面项目面板-》常规-》点现在清理桌面按钮,然后在要清理的项目名称前打勾,不需要清理的去掉勾,按向导提示完成即可。 |
|
加载中...
发表于 2013-1-1 19:47:50