昨天在家上网,刚刚打开新浪网站就弹出一个网站:
http://www.game591.com/adall.asp?comefrom=adcom
心想,这个网站给新浪多少钱,竟然全站弹出?又上了一下搜狐,竟然也有此网站弹出,奇怪了,难道是病毒?于是我看了一下浏览器首页设置,没错啊,是我自己的网站“西部E网 http://www.weste.net”啊,难道藏在注册表里面?我找到IE注册表中存放默认首页和搜索页的位置,也没有啊?
计算机装了ZA和NAV都没有警报,奇怪了!
我晕!于是我开始测试弹出网站的规律,发现这些弹出网站并不是在打开浏览器时出现的,而是在我点击链接的时候一块弹出来的,一开始我以为是在网页中加载了JavaScript的程序,找了半天也没发现,但是却发现一写规律:
弹出的页面有以下这些地址:
http://www.game591.com/adall.asp?comefrom=adcom
http://www.moviez88.com/adall.asp?comefrom=adcom
http://www.kt51.com/adall.asp?comefrom=adcom
http://www.sex591.com/ucenter/adall.asp?comefrom=adcom
http://www.tv888.net/adall.asp?comefrom=adcom
http://www.love920.com/adall.asp?comefrom=adcom
这些网站是随机弹出的,但是有一个规律就是后面的页面和参数都是“adall.asp?comefrom=adcom”,很显然,是病毒或者是木马,于是我上网搜索关键词“comefrom=adcom”,有意思的是,发现很多人都中了此病毒,但是都以为是更改首页的Javascript程序,用3721上网助手和AD-Aware都不能清除。
更有意思的是,在病毒的显示页面中还有这样一段代码:
<SCRIPT language=JavaScript>
function unloadpop()
{
line=0
switch (line)
{
case 1: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=1","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 2: window.open("http://www.tv888.net/adall.asp?comefrom=adcom&line=2","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 3: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=3","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 4: window.open("http://www.love920.com/adall.asp?comefrom=adcom&line=4","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
case 5: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=5","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
default:
}
}
</Script>
意思是,它可以根据不同的参数值在页面退出的时候弹出另外的病毒页面,依次循环。
常规的检查开始:
1、CTRL+ALT+DELETE查看进程
发现在进程中,有一个“msstart.exe”十分怪异,先结束这个进程,然后再到注册表中查找一下它的位置。
2、查找注册表
果然,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
找到了msstart.exe,它的位置在\winnt\system32\(这个是win2000和win2003系统)下面,删除后。
3、查找系统盘有没有相同名字的程序
一般病毒有可以智能复制自己,需要查找还有没有“msstart.exe”文件。经过查找,没有发现:)
4、上网找寻病毒名称
这个病毒应该不是新病毒了,所以网上一定有相关信息,先搜索关键词“msstart.exe 病毒”,在网站http://www.xfilt.com/tech/index.htm上找到了查杀它的方法,和我的方法基本一样,呵呵,其实所有的木马病毒手工查杀方法都是一样的。原来这个病毒叫Backdoor.livup。
5、查找更多病毒信息
瑞星网站有个栏目叫“病毒资料库”,基本上所有病毒都能从这里找到相关的信息。
地址是:http://it.rising.com.cn/antivirus/antivirus7.asp
可惜的是,我输入“Backdoor.livup”关键字,只能查出它有 Backdoor.Livup.c 和 Backdoor.Livup.d 两个变种,没有更多的信息了。
因此,icech赶快写出一篇文章,以后只要朋友们遇到我说的类似地址,就快快查找一下自己是不是已经中了木马病毒了。