对病毒Script.Adware.Yobous.d的一点分析和建议

最新推荐文章于 2021-07-06 00:55:33 发布
最新推荐文章于 2021-07-06 00:55:33 发布
阅读量112 收藏
点赞数
作者帮同事解决win xp系统浏览器被web.9983.com劫持问题时,得到瑞星报为Script.Adware.Yobous.d的病毒样本systems.hta。分析发现该病毒用计数器不定期在窗口中打开恶意网址。同时给出建议,可将恶意网址加入hosts文件或拒绝访问列表。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  endurer原创 2005.11.04第1版

  *注:为了安全起见,文中恶意网址的“http://”均用“hxxp://”代替。

  昨晚帮同事(同事的电脑使用win xp)解决浏览器被web.9983.com劫持的问题时,得到了瑞星报为Script.Adware.Yobous.d的病毒样本c:/windows/systems.hta。Kaspersky尚不能查杀此病毒。

  分析:

  systems.hta是一个文本文件,用文本编辑器打开它,可以看到源代码。

  该病毒使用了一个名为nnd的计数器,不定期的在名为“sunboy”的窗口中打开网址:
  当nnd的值为1时,打开hxxp://www.my168.net;
  当nnd的值为2时,打开hxxp://vod.xp99.net/pai.htm;
  当nnd的值为3时,打开hxxp://vod.xp99.net/pop.htm;

  建议:

  1。拒绝访问恶意网站。大家可以把以下内容:

127.0.0.1 www.my168.net
127.0.0.1 vod.xp99.net

加入hosts文件(具体操作可参考:【系统修复系列之】如何 检修 和 利用 hosts文件 )。

或者把下列网址

www.my168.net
vod.xp99.net

加入拒绝访问列表(具体操作可参考:【系统修复系列之】如何 使用IE中的分级审查功能 )。

iteye_6637
关注
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-18 889
前文介绍了IDA Python配置过程基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导帮助,基础性基础,希望您喜欢,且看且珍惜。
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 870
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导帮助,基础性基础,希望您喜欢,且看且珍惜。
Adware.Roogoo恶意广告程序的手动清除
尘雨::执着VC
07-23 2100
前几天,因为误下载了一个广告程序安装包,运行之后,几乎所有的垃圾插件都被强制安装。经过10分钟左右的手工清理(不太信任杀毒软件,也不安装杀毒软件),基本清除完毕。只剩下一个quartz32.dll 被大多数进程包括系统进程使用,在中止了了大量的进程的情况下,这个文件也被删除了,还包括msplus.dll这样的文件。由此噩梦出现了,当我重新启动计算机,发现再也无法与网络连接,也不能访问任何网站用
电脑开机自动装垃圾软件,原来中了Adware:usbadmi.sys
Purpleendurer@优快云
03-27 1万+
一位朋友的电脑最近出现异常情况,开机进入桌面后会自动安装 7k7k游戏、淘宝网、开心小工具、折子购物、爱奇艺之类乱七八糟的东东,卸载后下次开机又出来。  电脑中安装的电脑管家在开机时会提示svchost.exe试图自动修改IE主页,已拦截。  随后系统不断弹出错误提示框:  Unable to write to C:\Users\Public\Desktop\InterNet Explorer.u
http://95u.free.fr/index.php,Electronic Software Distribution Service
热门推荐
weixin_39632291的博客
03-19 140万+
Content-Type: multipart/related; start=; boundary=----------OH5LlQ9dynBJGqR8E2AiMRContent-Location: https://software.pitt.edu/software/software.aspSubject: =?utf-8?Q?Electronic=20Software=20Distributi...
解决火绒提示helper_haozip.exe文件是病毒威胁
hello world
03-20 1万+
问题 helper_haozip.exe是官方2345好压的广告程序,就像下面这样弹出广告 但是2345好压的md5校验很好用,所以也不想卸载,所以就需要彻底去除2345好压的广告,同时最好能防止火绒报毒(要想火绒不报毒,其实也可以添加信任) 解决 1.进入helper_haozip.exe所在的文件夹 下面需要替换成你的好压安装路径: G:\Program Files\2345Soft\HaoZip\Protect\Service\6.3.1.771 2.删除helper_haozi
病毒分析一:恶意下载软件
liuhaidon1992的博客
10-15 7299
一、样本简介 样本是在卡饭论坛找到的,原网址:https://bbs.kafan.cn/thread-2159857-1-1.html,样本下载链接: 链接: https://pan.baidu.com/s/1Jn-rhDOQRC-Lpe9lhCZF_Q 提取码: nb9e 样本ESET检测为Adware.Qjwmonkey.H应用的变种。此类型的特洛伊木马会将代码注入到Web浏览器应用程序I...
计算机病毒种类.doc
07-25
银行相关病毒“Bank”、即时通讯相关“IM”病毒、“QQ”相关病毒、“ICQ”相关病毒、“Game”游戏相关病毒、“Mir2”“Mir3”等游戏相关病毒以及“ReXue”、“Wow”等特定游戏的病毒,它们分别针对不同的应用程序...
了解进程病毒知识.pdf
09-29
防止计算机病毒的方法包括使用防病毒软件,定期更新系统软件,不打开未知来源的链接或附件。 蠕虫病毒是一种特殊的计算机病毒,它无需依赖宿主程序即可自我复制并网络传播。蠕虫病毒通过网络传播,如电子邮件、...
ARP.rar_Adware_C#广告_广告
09-24
【标签】进一步细化了内容的焦点,"adware"再次强调了这是广告软件相关,"c#广告"明确了技术实现的语言,而"广告"则是一个广义的标签,涵盖了所有与广告展示传播相关的技术。 【压缩包子文件的文件名称列表】包含...
zhuanti.rar_Malware_流氓软件_病毒木马_计算机病毒
09-23
计算机病毒、恶意软件、流氓软件病毒木马是网络安全领域中的关键话题,这些术语都涉及到对个人电脑系统安全的威胁。下面将详细解释这些概念,以及如何预防对抗它们。 首先,计算机病毒是一种自我复制的程序,...
caimingtang.net\/APP_download\/app_download.html,Shotcut - Download
weixin_31088605的博客
07-06 2219
We pledge that our downloads are always free ofmalware, spyware, and adware. Furthermore, we refuse to bundle any softwareunrelated to Shotcut such as browser toolbars or download managers.However, we...
8086汇编语言编译器6.0
最新发布
08-08
支持一键编译链接生成exe文件 1. 省去了5.0先需要masm,再需要link的烦恼,直接ml语句一键搞定; 2. masm5.0的编译会提出很多问题让你确认,需要加分号加速,6.0完全不需要 3. 希望此款软件可以帮助到有需要的人
C#广告插件开发包:ARP.rar Adware效果展示
此类软件虽被用于合法的广告业务,但也有潜在的风险被恶意开发者用于制作恶意广告软件,对用户的隐私计算机安全构成威胁。 从安全角度来看,用户应该警惕此类下载资源,并尽量避免下载安装不明来源的软件,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值