endurer原创 2005.11.04第1版
*注:为了安全起见,文中恶意网址的“http://”均用“hxxp://”代替。
昨晚帮同事(同事的电脑使用win xp)解决浏览器被web.9983.com劫持的问题时,得到了瑞星报为Script.Adware.Yobous.d的病毒样本c:/windows/systems.hta。Kaspersky尚不能查杀此病毒。
分析:
systems.hta是一个文本文件,用文本编辑器打开它,可以看到源代码。
该病毒使用了一个名为nnd的计数器,不定期的在名为“sunboy”的窗口中打开网址:
当nnd的值为1时,打开hxxp://www.my168.net;
当nnd的值为2时,打开hxxp://vod.xp99.net/pai.htm;
当nnd的值为3时,打开hxxp://vod.xp99.net/pop.htm;
建议:
1。拒绝访问恶意网站。大家可以把以下内容:
127.0.0.1 www.my168.net
127.0.0.1 vod.xp99.net
加入hosts文件(具体操作可参考:【系统修复系列之】如何 检修 和 利用 hosts文件 )。
或者把下列网址
www.my168.net
vod.xp99.net
加入拒绝访问列表(具体操作可参考:【系统修复系列之】如何 使用IE中的分级审查功能 )。
