昨天在家上網,剛剛打開新浪網站就彈出一個網站:
http://www.game591.com/adall.asp?comefrom=adcom
心想,這個網站給新浪多少錢,竟然全站彈出?又上了一下搜狐,竟然也有此網站彈出,奇怪了,難道是病毒?于是我看了一下瀏覽器首頁設置,沒錯啊,是我自己的網站“西部E網 http://www.wsalc.com”啊,難道藏在注冊表里面?我找到IE注冊表中存放默認首頁和搜索頁的位置,也沒有啊?
計算機裝了ZA和NAV都沒有警報,奇怪了!
我暈!于是我開始測試彈出網站的規律,發現這些彈出網站并不是在打開瀏覽器時出現的,而是在我點擊鏈接的時候一塊彈出來的,一開始我以為是在網頁中加載了JavaScript的程序,找了半天也沒發現,但是卻發現一寫規律:
彈出的頁面有以下這些地址:
http://www.game591.com/adall.asp?comefrom=adcom
http://www.moviez88.com/adall.asp?comefrom=adcom
http://www.kt51.com/adall.asp?comefrom=adcom
http://www.sex591.com/ucenter/adall.asp?comefrom=adcom
http://www.tv888.net/adall.asp?comefrom=adcom
http://www.love920.com/adall.asp?comefrom=adcom
這些網站是隨機彈出的,但是有一個規律就是后面的頁面和參數都是“adall.asp?comefrom=adcom”,很顯然,是病毒或者是木馬,于是我上網搜索關鍵詞“comefrom=adcom”,有意思的是,發現很多人都中了此病毒,但是都以為是更改首頁的Javascript程序,用3721上網助手和AD-Aware都不能清除。
更有意思的是,在病毒的顯示頁面中還有這樣一段代碼:
<SCRIPT language=JavaScript>
function unloadpop()
{
line=0
switch (line)
{
case 1: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=1","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 2: window.open("http://www.tv888.net/adall.asp?comefrom=adcom&line=2","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 3: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=3","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 4: window.open("http://www.love920.com/adall.asp?comefrom=adcom&line=4","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 5: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=5","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
default:
}
}
</Script>
意思是,它可以根據不同的參數值在頁面退出的時候彈出另外的病毒頁面,依次循環。
常規的檢查開始:
1、CTRL+ALT+DELETE查看進程
發現在進程中,有一個“msstart.exe”十分怪異,先結束這個進程,然后再到注冊表中查找一下它的位置。
2、查找注冊表
果然,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
找到了msstart.exe,它的位置在\winnt\system32\(這個是win2000和win2003系統)下面,刪除后。
3、查找系統盤有沒有相同名字的程序
一般病毒有可以智能復制自己,需要查找還有沒有“msstart.exe”文件。經過查找,沒有發現:)
4、上網找尋病毒名稱
這個病毒應該不是新病毒了,所以網上一定有相關信息,先搜索關鍵詞“msstart.exe 病毒”,在網站http://www.xfilt.com/tech/index.htm上找到了查殺它的方法,和我的方法基本一樣,呵呵,其實所有的木馬病毒手工查殺方法都是一樣的。原來這個病毒叫Backdoor.livup。
5、查找更多病毒信息
瑞星網站有個欄目叫“病毒資料庫”,基本上所有病毒都能從這里找到相關的信息。
地址是:http://it.rising.com.cn/antivirus/antivirus7.asp
可惜的是,我輸入“Backdoor.livup”關鍵字,只能查出它有 Backdoor.Livup.c 和 Backdoor.Livup.d 兩個變種,沒有更多的信息了。
因此,icech趕快寫出一篇文章,以后只要朋友們遇到我說的類似地址,就快快查找一下自己是不是已經中了木馬病毒了。
