rshyl - 2009-2-16 11:57:00
公司网站打开报Hack.Exploit.Win32.HTML.Iframe.fio病毒,应该怎么解决?
希望各位解答一下:
1. 这是什么病毒;
2. 怎样才能使人家上去不再报这个病毒。。
帅哥阿福 - 2009-2-16 12:25:00
打开任何网页即报病毒,很可能是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件,一般由被挂马的网页的相关恶意代码下载。
该漏洞存在于系统关键文件user32.dll中。当进入带有相关恶意代码的网页时,浏览器将会把这种畸形ANI文件下载到本机临时文件夹中,并依照网页脚本执行,将其设置为浏览此页面时鼠标的光标图案。在有瑞星监控的电脑上,当打开带有相关恶意代码的网页,将畸形ANI文件下载到本机临时文件夹中时,瑞星监控将报警,提示发现脚本病毒或网页木马。如果该文件在被下载到临时文件夹时即被瑞星查出,一般处理结果为“清除成功”,而如果该文件在被浏览器调用过程中被发现,瑞星一般将跳过相关代码并提示用户必须“重启电脑后删除文件”。无论是哪种情况,此畸形ANI文件都将不起作用,也就不会下载真正的病毒木马了。
仅仅就这个“病毒”本身而言,处理方法非常简单:关闭浏览器,然后清空IE临时文件夹,升级杀毒。
但是,如果浏览任何网页都会出现此报毒提示,那么就有arp病毒攻击欺骗的情况,某些病毒利用ARP欺骗等手段,在用户收到的网络数据包中自动插入iframe代码,代码指向利用MS07-017漏洞的网址。使得中毒用户,以及局域网中受到此中毒电脑的欺骗攻击的用户,在上任意网站的时候,均会出现脚本病毒或网页木马的报警。针对这种情况,建议先把补丁打上,其次核实如果是自己的电脑中了毒,应及时清空IE临时目录,升级杀毒;如果是别人的电脑中毒后攻击自己,则下载第三方抓包工具,查找病毒源,找到毒源后,使用瑞星听诊器扫描并上报扫描结果。
rshyl - 2009-2-16 12:40:00
谢谢楼上的回答,不过..不是我想要的 ...
我想是服务器或者代码上解决,然后别人访问我们公司网站的时候不再提示有病毒..
帅哥阿福 - 2009-2-16 13:02:00
如果仅仅是打开公司网站就报毒,说明被打开的页面上挂马或者有恶意脚本,可通过查看脚本方式,检查页面中是否存在iframe。
networkedition - 2009-2-16 13:06:00
公司网址呢?
rshyl - 2009-2-16 13:25:00
networkedition - 2009-2-16 13:32:00
http://127.0.0.1/m.htm这个是什么?在你的这个页面:http://www.zhongshungroup.com/CSS/fontcss.css里找到的。
rshyl - 2009-2-16 13:43:00
应该就是这个东西的问题了,我看一下,谢谢你
rshyl - 2009-2-16 14:27:00
css里面的iframe能起作用吗?
networkedition - 2009-2-16 14:36:00
肯定起作用呀,你的网站用到这个css了呀。如果那个iframe指向的是一个含有恶意代码的页面就会报毒的。很奇怪的是为什么是127.0.0.1这个地址,貌似应该是指向了你的网站服务器本机的m.htm页面。
rshyl - 2009-2-16 14:50:00
我也觉得奇怪` 还有段JS也囿这段iframe...
ASkill - 2009-2-16 14:53:00
自己下载个asp木马 放到你的网站目录 执行清除木马功能 输入那段代码就是了
davicom - 2009-3-19 8:10:00
大家好,我单位的网站也出现了同类病毒,我查杀了服务器多次,都没有发现病毒,但在我电脑上打开网页时老是提示Hack.Exploit.Win32.HTML.Iframe.fio 病毒,请networkedition 给予解决,我单位的网站是
http://www.ccbtv.com.cn 陈仓广电网
© 2000 - 2025 Rising Corp. Ltd.