其它名称:Trojan:JS/Gamburl.C (MS OneCare), Trojan-Downloader.JS.Gumblar.x (Kaspersky)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:中
具体介绍:
病毒特性:
JS/Gumblar!generic 是一种JavaScript特洛伊病毒,它会植入被感染的网站。
感染方式:
JS/Gumblar!generic 是一种恶意的JavaScript,能够植入被感染的网站,当用户访问这些网站的时候,病毒就会将恶意的JavaScript植入网站。
这些恶意的JavaScript文件将尝试攻击已知的浏览器漏洞,一旦攻击成功,它们就会下载二进制程序,并在被感染机器上运行。
危害:
当用户访问这些植入JS/Gumblar Trojan病毒的网站的时候,它将会改变用户到一个恶意网站并攻击用户浏览器。JS/Gumblar的大多数变体将尝试下载恶意的PDF 或 ShockWave文件到被感染的系统中。
一般情况下,JS/Gumblar变体会改变到gumblar.cn 和 martuz.cn网站,但是不局限于这些域。JS/Gumblar访问的网站可能会变化。
目前检测到的Gumblar都是JS/Gumblar generic。
清除:
KILL防病毒软件最新版本可检测/清除此病毒。
试试这个,一般是cookies注入,如果你asp中直接Request("id")的话,没有过滤cookies就会被注入了Response.Buffer = True '缓存页面
'防范get注入
If Request.QueryString <>"" Then
call StopInjection(Request.QueryString,"QueryString")
End if
'防范post注入
If Request.Form <>"" Then
call StopInjection(Request.Form,"Form")
End if
'防范cookies注入
If Request.Cookies <>"" Then
call StopInjection(Request.Cookies,"Cookies")
End if
'正则子函数
Function StopInjection(Values,Rtype)
Dim regEx
Set regEx = New RegExp
regEx.IgnoreCase = True
regEx.Global = True
regEx.Pattern = "'||#|([\s\b+()]+(select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|set|exists)[\s\b+]*|varchar)"
Dim sItem, sValue
For Each sItem In Values
sValue = LCase(Values(sItem))
'Response.write Values &"\====\" &sValue &"<br>"
If regEx.Test(sValue) Then
Response.Write Rtype &"注入:" &sValue &"<br>"
Response.End
End If
Next
Set regEx = Nothing
End function
首先确定你的服务器上原文件 是否有这些代码就是说 服务器上文件是没有的 但客户端一运行 在客户端看源代码就有了这样的话 服务器确实中了arp了 只需要在服务器上装一个简单的arp防火墙即可 360 金山的就行 重启服务器 立刻没有了如果你服务器上的源文件都被修改了 那是你的程序 或 服务器本身有安全漏洞。把你的源码拿回来看下有没有被修改
