最近12天内突然发现已经基本被扑灭的arp有回探的趋势,本来以为此病毒用arp防火墙就可以很轻松的解决
但是两个星期在学校局域网内的杀毒经历却使人精疲力尽,仅用此文介绍与此病毒斗争的经历以及病毒不断进化的事实希望和大家一
起解决这个问题
在此病毒刚开始的时候,大部分情况是网络时段时通.所有asp网页上方均被加入google的广告,右下角弹出送200q币的仿腾讯消息.很
多人说校内的网站被人黑了.但我们检查过服务器网段均访问一切正常,结合发现很多校外较大形的网站也出现此问题.我们认定是网
页在病毒发作的网段被劫持,在网页源码上加入 javascrit代码 外联111.xxx.xxx.xx网站.被加入广告.我们用卡巴司机和dr web以及
360和windows清理助手反复查杀,发现主要携带者为优盘-- 1: autorun.inf 连接pagefile.pif(dos属性) 2:是doorxx类型病毒携带
当这两者被干掉后arp消失,网络通畅.小广告消失.hehe当时还是很高兴 优盘病毒不过如此吗
4天后这些问题在我们连续捉住十台机器后依然没有结束,反而越来越烈.我们使用交大的arpdetect不断检测出arp攻击甚至一台机器
的发包超过网关20倍.同时还多台机器发作.此次我们根据ip地址去查,被骗的很惨,病毒机真实ip与设备显示发包ip吻合率不到20%
白跑楼上楼下不计其数.终于见识了伪造ip的arp的厉害,tmd甚至把自己变成交换机.还好根据我们的mac记录和购买的几十万的流量检
测设备能90%检测到真实的地址.而这次病毒机的情况有了新变化 door作为载体已经不存在了 ,不过360安全卫士启动出现问题 经典
的内存0000000x问题然后退出,windows清理助手启动杀毒后不断显示你是否同意推出windows清理助手.最后消失,卡巴斯基和小红伞
均查不出病毒 .安全模式蓝瓶.最后只能请出win pe盘在运行绿色windows清理助手,查出autorun+pagefile.pif已然还在 但是在
windows/system32/com下查出了新东西lsass.exe netcfg.000 netcfg.dll smss.exe 生成时间非常接近 和此目录下的其他文件则时
间相差很远 必是病毒 另外还查处有病毒下载器.不禁心中一凉,不会是arp欺骗下载exe病毒+优盘双重传播吧.好待pe能搞定他
今天下午7点开始给领导办公室查毒,皆为卡巴斯基 红伞 drweb 查不出病毒而360和清理助手军报错被前行退出.汗我已经对杀软失望
了 把是否有毒的判断依据定位为木马专杀工具是否正常,真可悲.令我大为不解的是在pe下用windows清理助手和360全盘查杀完后病
毒再次出现反复如此.pe下不可能出现病毒被系统级保护,需重启杀毒的问题.被此病毒晃点2,3次后我把问题集中到启动系统时的进程
上 真是令人汗颜 我看到很多随即生成的类似xjhdhds.exe进程 ~e.exe进程 以及一闪就退出的360arp防护墙 他关安全卫士还能理
解,关arp防火墙干吗? 正在不解中 随后令人震惊的ping.exe和cmd.exe进程出现了 汗原来pe下杀掉的毒又从假冒网关上下回来了
system32下出现dnsq.dll dnsq.dll.log wpcap.dll wpcap.dll.log 000.cfg0等最新时间生成的文件 杀软和安全工具都不报
还能说什么呢 这下真是碰到能自动更新的病毒了 从下载器以量取胜在到现在从网上下载不断进化的病毒 再加上劫持广告流量
我们都准备投降了
杀软对没有病毒本体 都是脚本和命令行的这种木马有啥办法呢 只能靠专杀了 杀完了以后又怎样防呢,我曾经遇到
开着arp防火墙用ie7上微软的msn网站结果被下载一堆.exe ie直接死掉出现dos窗口 还好红伞事后扫描全干掉 可当时没挡住
局域网算是完了 大家以后用adsl吧 |
发表于 2007-11-22 00:57:18
