微点交流论坛

标题: 关于恶意脚本的执行与阻止 [打印本页]

作者: 66653202 时间: 2008-1-9 20:51 标题: 关于恶意脚本的执行与阻止

我单运行微点时，访问某些网站，导致内存占用达到1G，系统处于无反应状态。

然后安装“卖咖啡”，然后访问该网站，提示有病毒。
可惜偶菜鸟一个，不知道如何从“卖咖啡”中提取病毒样本。现发一个卖咖啡的日志文件一个。
供管理员分析。

2008-1-9 19:03:44 引擎版本                                  = 5200.2160
2008-1-9 19:03:44 防病毒 DAT 版本                            = 5147.0000
2008-1-9 19:03:44 EXTRA.DAT 中的检测项特征码数                   = 无
2008-1-9 19:03:44 EXTRA.DAT 中的检测项特征码名称                   = 无
2008-1-9 19:05:28 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\STMNWLUJ\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:05:28 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ECPB73J0\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:05:29 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXX/ff/real.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:05:31 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXXX/ff/06014.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:12 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXX/ff/06014.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:15 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\STMNWLUJ\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:15 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXXX/ff/pps.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:34 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\888GUD60\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:34 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXXX/ff/06014.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:06:35 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXX/ff/bf.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:19 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q9KZM1A5\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:20 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXXXX/ff/06014.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:20 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXXXX/ff/06014.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:50 已删除 COMPUTER\Administrator C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6T7IAY29\bf[1].htm JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:52 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXXXX/ff/06014.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)
2008-1-9 19:07:53 脚本执行被阻挡？？？ Administrator iexplore.exe(http://www.XXXXXX/ff/pps.htm) 由 iexplore.exe 执行的脚本 JS/Exploit-BO.gen (特洛伊)

[ Last edited by Legend on 2008-1-9 at 21:18 ]

作者: Legend 时间: 2008-1-9 20:55
请问你是使用什么浏览器？
请把该网站连接和本贴连接一起发到virus@micropoint.com.cn 我们会进行测试。

作者: david1126103 时间: 2008-1-9 21:01
估计是利用REALPLAY的漏洞
注意给REAL升级下

作者: 66653202 时间: 2008-1-9 21:09
已经发送到邮箱，病毒样本已经提取出来，并发送到mailto:virus@micropoint.com.cn

作者: Legend 时间: 2008-1-9 21:11
谢谢你提供的信息。

作者: aidi 时间: 2008-1-9 21:12
糙糙看了下，都是ie生成的脚本文件，看来你访问的网址有问题可能被别人挂了马；
不过这些东西占用内存确实很烦人，希望以后能够有个两全其美的解决办法。

作者: 66653202 时间: 2008-1-9 21:40

Quote:

Originally posted by aidi at 2008-1-9 21:12:
糙糙看了下，都是ie生成的脚本文件，看来你访问的网址有问题可能被别人挂了马；
不过这些东西占用内存确实很烦人，希望以后能够有个两全其美的解决办法。

呵呵，是个成人网站。有时候很正常。
首页没有问题，但是点击链接的时候就会导致机器假死。
装了“卖咖啡”就提示有如上病毒。

作者: Legend 时间: 2008-1-17 11:36
楼主您发送的邮件我们没有收到，请您重新发送一下，您发送完后，请通过论坛短消息将您的邮箱地址发给我，也请附带此贴链接

作者: 66653202 时间: 2008-1-17 20:05
现在我测试这个网站的时候一切正常……
而且我已经重装了系统。
病毒文件已经被我格式化了。

作者: Legend 时间: 2008-1-18 14:10
十分感谢楼主的测试和反馈，以后遇到这种情况时，希望您能协助我们保持现场并及时联系我们，谢谢。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn