中国的所有IT精英们,大家好,小弟是给别人做网站的,前一段时间给别人改了一个动网的论坛,以前放在万网的服务器上挺好的,后来因为图片太多了,客户又自己换了一个服务器,现在在安装卡巴斯基的情部下访问就会出现中了这个Exploit.HTML.Mht病毒,里面多了几句IFRAME代码指向的是木巴网站的WM.HTM文件,可是我把网站全下下来在放到万网的服务器上完全没有问题,这是怎么回事呀.还有中这个木马的根本原因是什么呀?代码有因素,和他的服务器有直接关系吗.最根本的原因是哪方的呀.况且那方说他的服务器没有病毒也已经杀了.没有发现病毒.唉!现在兄弟我也不知道怎么办了呀.总而言之,兄弟我就是想知道中这个病毒的根本原因在哪方,主要责任在哪方.嘻嘻还有,各位大哥们,我自己在这边怎么才能把这个病毒杀了呀,找代码也找不到WM.HTM,可是在IE里面查看源代码就可以看到,在ASP源文件中就找不到呀.告诉我怎么办好吗.兄弟我先在这里谢谢大家了.嘻嘻!
參考答案:在打开浏览器连接某个页面时,瑞星总提示查到Exploit.HTML.Mht 这个病毒。每次杀毒后,一旦连接那个页面又会出现,好象瑞星也拿它没办法
关于exploit.html.mht.p病毒的解释
IE浏览器安全漏洞。
据位于伦敦的安全公司ScanSafe发表的数据显示,今年第2季度微软的IE浏览器中的一个安全漏洞是被黑客用来实施攻击的最多的一个安全漏洞。
这家安全公司称,排名第一的安全漏洞是“Exploit.HTML.Mht”。黑客利用微软IE浏览器中的这个安全漏洞就可以在用户计算机上下载和安装恶意程序。利用这个安全漏洞向机构实施攻击的次数比利用其它安全漏洞实施攻击的次数多一倍。
我知道目前瑞星16.56.10 版以上可杀此病毒。
建议:安装微软最新的IE漏洞补丁,这个病毒只针对微软IE攻击!用杀毒软件杀毒!
一个检查程序文件页面是否被病毒恶意修改的方法是:打开页面后,点击浏览器的〔查看〕菜单,选择〔查看源文件〕,将滚动条拖到最后面,看看最后面是否有如下代码:
<iframe src="" width="0" height="0" frameborder="0"></iframe>
</htmlL><iframe src="" width="0" height="0" frameborder="0"></iframe>
-----------------------------------------------------------------------------------------------------------
Exploit.HTML.Mht病毒是由于网友访问的网站服务器上被放置了iframe,指向一个发送木马的网站,对网友而言,如果安装了先进的杀毒软件,只要访问这个网站就会报警,报告发现某某病毒,网友不用紧张,只要下载安装最新的IE补丁就可以防止被黑。同时再用杀毒软件杀除在缓存中的病毒,清空缓存。
主要问题在服务器,它会使所有来访者遇到可能的威胁。这些服务器往往是被黑了,在服务器上(尤其可能是根目录下)存在的一个文件,名字很可能是 bodyers.asp之类的,里边的代码非常简单,就几句,构成了一个砍客联盟木马的 服务器端。
这是个很严重的问题,很多网站上都被放置了 kker砍客联盟木马 ,蓝屏木马 或 海阳顶端木马。这些破坏者主要是利用某些ASP程序的安全性检查不严密,被上传了ASP木马造成。后果非常严重。破坏者可以利用这些木马删除你所有的数据文件。现在放这些病毒的破坏者只是在你的主页或conn.asp文件中加入这两句iframe,想利用你的网站,使访问者的浏览器下载他们的恶意代码,然后他们在访问者的机上搞破坏,如偷游戏密码等。
网站所有者要做的事情是,在你服务器的所有文件中,无论是什么类型,查找包含 kker 或 clsid:0D43FE01-F093-11CF-8940-00A0C9054228 这段文字的文件,如果有,你很可能已被种了 利用fileobject无组件上传漏洞的kker木马。
查找 SCRIPT RUNAT=SERVER LANGUAGE=VBS 这段文字的文件,大小为19K,如果找到后确认不是你自己的文件,那可能被种了蓝屏2004木马。
查找 “自己的cmd.exe文件名 ” 这段文字的文件,大小为77K,如果找到,那么你可能被种了海阳顶端木马。这个木马的部分代码encode过,诺顿查不出来,但一解密就立刻发现。