读者 赵林海:各大论坛上到处都是关于161816.com的求救帖,看来感染人数不少啊。
读者 万定意:我的电脑已经被这个无比恶心的网站折磨一周了,毫无办法!
读者 顾昭:又是个窜改浏览器的恶意链接网站,赶快曝光它。
近期,我们注意到恶意链接网站又有所增加,与以往ANI、ARP等感染方式不同,不法分子采取了多种病毒混合攻击方法,使网民中招后很难彻底清除,例如www.161816.com就是这两周较为活跃的一个恶链网站。读者纷纷反映访问该站后感染所有网页文件,并自动添加其链接地址,CPU占用率长时间达到100%,系统运行速度下降严重等。
调查至该站Web.htm页面后,浏览器迟钝片刻,随后杀毒软件立即报警发现3个病毒。下载该页面查看源代码,此页分别从http://sdo.969111.com/web1.htm~web5.htm、http://www .161816.com/pps.htm做了远程病毒调用。
根据此线索追踪至http://sdo.969111.com/web1.htm后发现源代码已被做了加密,解码后终于显示出病毒源自http://www.15197.com/TestCSn.cab的病毒集装箱,为了隐藏真实地址竟然做了多重远程调用、代码加密,真是煞费苦心。
此番一举将这三个上演连环戏的恶意网站屏蔽,捕获到的TestCSn.cab病毒样本也已紧急转报至多家反病毒厂商,中招的读者请及时升级杀毒软件进入安全模式彻底清除。
HOSTS反黑文件下载
最新版本:2007.11.05
文件大小:6KB
累计下载次数:20011(截至2007年10月29日)
全球唯一下载地址:http://www.cpcw.com/web/f/host.html
使用方法:解压后将HOSTS文件直接覆盖至C:\windows\system32\Drivers\Etc即可,为防止某些恶意网站或病毒窜改HOSTS,请确保此文件属性为“只读”。
新收录的恶意网站:
rb.vg www.77bbb.com
pop.yoyo59.com www.mympc.com.cn
www.wv00.cn www.161816.com
www.15197.com sdo.969111.com
count.16.vg www.2meinv.com
www.17173bt.com www.wansong.net
www.nmhgoi.cn www.jooee.net
恶意网站页面:
wv00.cn
投诉人数:1458
危害程度 ★★★
IP:61.152.244.74
定位:上海市电信
编辑分析:这家幻雪QQ资源网本周读者举报较多,经测试其多个页面嵌有脚本病毒,其中部分页面还携带木马下载器,企图下载盗号木马盗取用户QQ、网游账号,并频繁弹出广告窗口。
恶意网站页面:
rb.vg
投诉人数:1255
危害程度 ★★★
IP:66.186.35.172
定位:美国
编辑分析:近日突然爆发,利用驱动级编写技术频繁更新变种,已逃脱多款知名杀毒软件的检测。中招后系统加载时间变长、开机无法显示桌面,且具备ARP传播能力、窜改HOSTS文件、在所有网页代码中均嵌入“http://rb.vg/1.js”地址。为逃避打击,服务器放置境外,WHOIS信息显示注册人位于厦门。