php文件被trojan-clicker.win32.delf.fp修改了

linker14年前网络日志412

今天OA服务器突然在主页登陆的时候,提示一个文件“o line”错误,我以为这是提示文件使用期限到期了,以前也有类似的错误出现,后来替换文件以后就修正过来了。但今天发现,替换文件以后,又出现了另一个文件名的调用错误,包括后来在oa中内嵌的discuz论坛也在首页提示调用“globe”文件错误,奇怪了?

由于前天的时候,[url=http://www.linwan.com/archives/2150.html]oa服务器出过问题[/url],后来移到服务器上的时候,是利用ftp移动的,这时候是怀疑下载的时候,是不是编码不对;应该要求是以二进制来传送的。但后来一想,开始用着全部正常啊!

突然看到诺顿服务器在不断提示着木马错误,一想,是不是这个原因?想到这里,由于其他机器尚还留着oa数据文件的备份,就从另外一台机器上再次拷贝了一份;运行,还是出错,紧接着,诺顿还在不断的提示木马错误,隔离中……;想了想,觉得这个服务器的系统太老,是纯粹的2003ser版本,sp1都没打,只打了冲击波、震荡波、魔波的补丁,对,先把这个问题解决再说。oa数据库在d区,对c区操作不会丢失oa数据,想到这里,重启服务器,把去年的一个镜像备份恢复到c区,重启后,全部更新微软补丁,这一段时间,随着“魔波”的盛行,木马也跟着越发猖狂了。当时镜像安装的是卡巴的服务器版,也把它的病毒库即时更新了一下。一切完毕后,重启服务器。

重启后,把oa的备份数据又重新向服务器d区拷贝了一份,再次运行,这次没有提示错误,但随着我目录的浏览,卡巴已经成为在报警发现木马;木马名称为trojan-clicker.win32.delf.fp,在卡巴的日志avpm.rpt文件中,可以清晰的看到哪些文件感染了什么病毒;奇怪了,虽然2000年就发现感染了php文件名的病毒,但这么多年来,还没有遇见过这种情况啊!

既然这样,死马当做活马医,开始卡巴提示时,还是忽略,因为怕损坏php文件,现在既然是病毒,并且oa数据在其他电脑上还有备份,mysql数据库肯定不会被破坏感染的,那就让卡巴杀吧!点击以后都是这样执行-杀毒!呵,执行这个操作之后,重新拷贝的php文件倒是安定了,没有再提示这个错误,oa系统也可以正常登陆了!

仔细看了一下,发现php文件被修改的地方都是在末尾加了一行以iframe为调用的网址,我说呢,登陆oa首页的时候,在状态栏里面发现在引用这个网址,好在这个网址现在已经失效了,不然,还不定再出什么问题呢。

至此,把oa数据文件又全部拷贝了一遍,这时候由于有卡巴的实时防护(诺顿的怎么就防不住呢,唉),oa已经运行正常;剩下的就是整机再扫描一遍!晚上让卡巴自己做吧!大白天的这样扫描,oa系统就没法用啦!

 查了一下针对这个木马的资料,发现网上并没有太多这个木马的说明,百度的只有两条,gg的倒有几十条这方面的说明,首先,f-secure就有这个说明,网上大致就是说,用超级兔子、清理大量来清除,或者用最强的杀木马软件Ewido进行全盘杀毒。另外,有一个网址还专门说明了哪些网站有木马,并注明是否去掉,http://www.ylge.cn/hmd.asp,其中还有一个网站还有这种木马,NND,道德如此者,众人发指。

标签: 木马病毒

相关文章

全方位大批露木马各种隐藏技术

全方位大批露木马各种隐藏技术

  以前,我曾认为只要不随便运行网友发来的文件就不会中病毒或木马,但后来出现了利用漏洞传播的冲击波、震荡波;以前,我曾认为不上小网站就不会中网页木马,但后来包括国内某知名游戏网站在内的多个大网站均在其...

脱壳剖析木马的本来面目

木马与杀毒软件之间的战斗从来就没有停止过,通过对已知的木马进行加壳可以再次躲避杀毒软件的查杀。加了壳的木马可以防止被杀毒软件跟踪查杀和被跟踪调试,同时也可以防止木马本身的算法程序被别人静态分析。加壳软...

小小几招防木马

小小几招防木马

一、赤手空拳防木马  现在的系统,不仅有木马程序“潜伏”,各类恶意插件也在其中死缠烂打。而造成这种情况的主要原因就是给予了登录帐户和上网者过多的使用权限,使木马和插件能够堂而皇...

简单清除U盘携带病毒

病毒介绍    最近在网络上流行一个叫“rose.exe”的病毒,它最初的表现为在你的电脑里面,右键单击各个盘符的时候,第一项由原来的&ldquo...

恢复被病毒木马禁用的“显示所有文件、隐藏文件”

Windows XP操作系统,打开“我的电脑”-“工具”-“文件夹选项”,选择“查看”选项页,点击选择&...

注意:隐藏的病毒文件清除全过程

今年以来,有时候,你会发现,当选择“显示隐藏文件”这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是“不显示隐藏文件&rdquo...

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。