使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
主页篡改为 2548.cn
系统win7 32位
发现经过:
帮用户远程查看,发现注册表和一些常见的首页劫持技术都没有用,但是首页就是2548.cn,于是怀疑是有一些进程或dll导致的,看到有金山网盾的标志,就问用户是否安装过金山网盾,答曰没有,用进程查看发现
网盾安装在 windows目录下C:\WINDOWS\Kingsoft\KSWebShieldSVC,而一般默认是安装C:/program Files/kingsoft/kswebshieldsvc/,显然有问题,尝试的把网盾进程终止,果然主页不再是2548.cn恢复正常了,看来是有黑客利用了金山网盾的主页锁定功能,这个功能本来是用来将恶意地址跳转到用户指定的正常网站的,现在被人利用来进行恶意网站的首页劫持。可以在C:\Documents and Settings\All Users\Application Data\kingsoft\kws目录下看到配置为2548的sp关键字的ini文件。实属双刃剑的另一面。
解决方案:
删除目录
C:\WINDOWS\Kingsoft\KSWebShieldSVC
删除服务
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Kingsoft Antivirus WebShield Service] |
[复制链接]
发表于 2010-3-28 20:24
发表于 2010-3-28 20:25
发表于 2010-3-28 20:31
发表于 2010-3-28 20:33
