Photo.scr病毒
Photo.scr病毒怎么清除和防范?
有段时间笔者的win2003服务器上出现大量Photo.scr病毒,庆幸的是检查任务管理器后并没有发现可疑进程,说明病毒没有被执行。
删除后没清静多少时间,这些病毒又冒出来了。
这些Photo.scr的路径都在IIS自带FTP的路径下,关闭FTP服务就不再出现了,只要一开FTP过段时间又会出现。
然后就认为黑客是利用了IIS自带的FTP漏洞上传的病毒文件,只要不用FTP时就关掉FTP服务。
刚刚发现原来是开了FTP的匿名连接导致的,只要取消“允许匿名连接”的勾就解决了。
这段时间笔者在给网站搬家时,发现Defender对网站文件进行报毒,查看后是被加入了以下恶意代码,以达到病毒传播的目的。
<iframe src=Photo.scr width=1 height=1 frameborder=0></iframe>
黑客并没有批量添加代码,只改了2个文件,而且不仅限是html文件,还有xml文件也没幸免,应该是黑客觉得批量添加容易被发现,所以手动添加。
清除Photo.scr病毒:
1、如果没有运行它,直接搜索Photo.scr并删除就可以了,如果已经运行过,建议杀毒或重装系统。
2、检查下文件有没有被添加恶意代码,虽然已经删除Photo.scr不会再传播,但是安全软件还是会报毒提示,如果被添加恶意代码删除即可。
安全防范建议:
1、虽然知道了是开了FTP的匿名连接导致病毒上传,不过还是建议不用FTP的时候还是关闭它,谁知道它还会有其它的什么漏洞呢。
2、建议FTP的目录不要直接设在网站目录,如需上传文件到网站目录,可以先上传到别处再通过复制或剪切到网站目录。
3、更改FTP默认端口,避免被黑客的端口扫描器扫到。
=======================================================================
当服务器上出现这些文件:photo.scr时,说明你的服务器已经感染了矿机木马。
第一次发现这个木马的时候是在上班, 突然发现公司的云服务器上有这个可疑的文件, 它是这样的图标(右边是正常的文件夹):
只是一个简单的矿机木马, 技术含量不高, 中了招的朋友可以通过以下步骤删除木马:
打开任务管理器, 结束 NsCPUCNMiner32.exe | NsCPUCNMiner64.exe | photo.scr 这三个进程. 64的那个不一定有.
删除所有磁盘根目录下的 photo.scr 文件.
删除 %Temp% 文件夹下的 pools.txt | NsCPUCNMiner32.exe | NsCPUCNMiner64.exe 这三个文件, 64的那个不一定有.
(此项步骤可选, 用于防止再次中招) 将 stafftest.ru | www.stafftest.ru | u.lduxnfz.com 这三个地址用hosts屏蔽为127.0.0.1
(此项步骤可选, 用于防止再次中招) 将 NsCPUCNMiner32.exe | NsCPUCNMiner64.exe | photo.scr 这三个进程用iHtool工具加入IFEO映像劫持.
(此项步骤可选, 用于防止再次中招) 如果你的电脑正在运行 ftp server, 设置一个密码或者用ssl加密(更改端口也可).
最后要说下的是win系统自带的FTP能不安装就别安装它,数据上传方式有很多种方法,比如上传到网盘里在服务器上下载,或者安装一个其他的FTP软件。
Photo.scr病毒相关推荐
- U盘中毒(一堆.scr扩展名的文件),文件不见了怎么办,怎么恢复隐藏文件
U盘中毒(一堆.scr扩展名的文件夹),文件不见了怎么办,怎么恢复隐藏文件 U盘中毒(一堆.scr扩展名的文件夹) 显示隐藏的文件 批处理命令 参考 参考链接 U盘中毒(一堆.scr扩展名的文件夹) ...
- 硬盘双击无法打开的解决方法
最近硬盘或移动设备双击打不开的情况比较多见,大都由病毒引起.以下方法和可能性供大家参考,没有时间过多整理 一.右键多了一个"自动播放" 1."开始-运行",键入 ...
- 2007年中国电脑病毒疫情及互联网安全报告(全文)
2007年,互联网迅猛发展,网络应用日益广泛与深入,网络炒股.网络游戏.网银用户大幅增长:与此同时病毒的"工业化"入侵以及"流程化"攻击等 特点越发明显,以熊猫 ...
- clamav病毒库格式解析
clamav简介 Clam AntiVirus(ClamAV)是免费而且开放源代码的防毒软件,软件与病毒码的的更新皆由社群免费发布.目前ClamAV主要是使用在由Linux.FreeBSD等Unix ...
- 病毒木马防御与分析实战
<病毒木马防御与分析>系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀.当然,因为我个人水平的有限,查杀 ...
- 熊猫烧香变种病毒分析
熊猫烧香变种病毒分析分析报告 样本名 2_dump_SCY.exe(熊猫烧香) 作者 yusakul 时间 2018-07-13 平台 Win7-32 1.样本概况 1.1 样本信息 病毒名称 2_d ...
- u盘文件看得见却打不开_U盘中病毒,文件看得见,但是打不开,文件要怎么修复,求解答?...
匿名用户 1级 2018-11-25 回答 常用U盘的朋友经常会遇到过中病毒的情况,即使用杀毒软件杀毒也无法恢复.如: 一.本来存到U盘的文件夹一下子都没有了,查看U盘大小发现还占用一定的空间(原因: ...
- 熊猫烧香病毒企业局域网网完整解决方案
继维金后的熊猫烧香病毒一度蔓延开来. .我们可能会因为工作繁忙忘记给金山毒霸客户端升级导致系统中该病毒.网上有各种针对该病毒的解决办法.我们也不去讨论其良莠了,在这里,主要面向各位负责金山毒霸企业版( ...
- 修复病毒破坏的文件关联并恢复程序图标
1.破坏文件关联的两种方式: (1)修改特定扩展名文件的对应名称.以.exe文件为例: 正常注册表中,.exe文件对应名称为: HKEY_CLASSES_ROOT\.exe (默认) ...
最新文章
- liu四声拼音怎么读_拼音是99%的西安孩子幼升小必备知识!附:幼小拼音学习计划...
- Eclipse的基本设置
- 开源Math.NET基础数学类库使用(04)C#解析Matrix Marke数据格式
- 前端学习(2947):node.js使用
- grep/egrep和正则表达式汇总
- 电脑会显示android,怎么在电脑上显示、操作安卓手机
- linux 导出io,Linux基础知识之IO重定向
- linux ubuntu 加密狗,ubuntu – 将usb加密狗连接到KVM VM
- java 设置纸张大小设置_java page如何设置纸张
- 「3D视觉技术交流群」精华帖与关键问题
- 教你如何试用华为云服务器
- 永洪BI配置测试及遇到的一些问题
- 获取当前时间戳-在线时间戳转换工具
- 像中文的罗马音字体复制_罗马音大全可复制app中文下载
- 特征值分解与奇异值分解及其应用
- 7-6厘米换算英尺英寸
- Android 8.1 第三方apk通过数据库调用系统定时开关机功能
- python是高级语言还是低级语言_python和其他语言的比较
- 无线突然断开无法连接服务器,为什么我的无线网突然就断了 随后怎么也连不上...
- Effective Java 泛型 第28条:利用有限制通配符来提升API的灵活性