热搜词
发表于 2020-5-8 07:08:57 | 显示全部楼层 |阅读模式
最近发现网站源码中有大量.html 文件被写入脚本木马。大概是这个样子的。
未标题-1.png

03.jpg

经过百度得知中了Srv强感染病毒,这种病毒在执行后会在c盘的一个啥目录中生成一个DesktopLayer.exe无图标病毒,然后感染全盘的HTML、DLL、EXE文件,凡是打开EXE文件都会在同目录下生成一个以Srv为结尾的无图标病毒大小在55kb或111kb,、这种病毒感染能力极强,虽然已经是很古老的病毒了,但是这种病毒最近在论坛频繁出现,就我在论坛发现的别人发的程序存在这种病毒的就有好几(都已经举报 肯定还会有)绝大多数出现在外挂辅助上,中了该病毒,唯一的办法就是全盘格式化重装系统,别说你不想重装系统,就算你想重装系统,不格式化全盘依然是没有一点用的,因为感染了全盘文件后,只要是运行EXE文件或者调用DLL文件或者HTML文件,都会使病毒再次全盘感染,所以只能全盘格式化然后重装系统,还有建议不要尝试在感染的机子上拷贝文件到U盘中,这种病毒也会感染U盘上的东西,你全盘格式化然后重转系统后,插入刚刚的U盘,你电脑还会一样再次感染,所以。。你懂的


DesktopLayer.exe 会有以下几个行为:

第一,会在C:\Program Files (x86)\目录下生成一个Microsoft文件夹,里面有个病毒文件desktoplayer.exe;
第二,会在C:\Users\Administrator\AppData\Local目录下生成一个Installer文件夹,文件夹里会按时间不同编号不同的产生病毒文件夹,虽然文件夹名称后面数字不同;
第三,这种病毒感染的类型很变态,除了常见的exe和dll,还有htm和html网页文件;(常见的是会生成一个55kb的XXXSvr.exe的文件)
第四,这种病毒貌似会默认给你一些文件夹开启共享权限。这些都是暂时知道的,其他的还不知道。

DesktopLayer.exe 可详见此帖子:

https://www.52pojie.cn/thread-551523-1-1.html



全部评论1
灰儿 发表于 2020-5-8 07:09:48 | 显示全部楼层

http://www.admin365.cn/thread-45212-1-1.html   DesktopLayer.exe病毒查

http://www.admin365.cn/thread-45211-1-1.html  HTML感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒解决办法

http://www.admin365.cn/thread-45224-1-1.html   HTML文件自动加入了VBS代码?教你解决Ramnit病毒
回复

使用道具 举报

回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-11-22 18:33 , Processed in 0.156164 second(s), 26 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team