查看: 4866|回复: 20
收起左侧

[微点] 从女员工电脑入手 挫败黑金ARP

[复制链接]
taiw_1144
发表于 2008-1-28 20:09:34 | 显示全部楼层 |阅读模式
2007年12月初,就在H集团的IT子公司B召开发布会的前夕,东方微点却意外接到了紧急求救电话——局域网全部瘫痪,所有业务活动被迫陷入了停滞。  电话里简单了解了一下情况:据B公司网管介绍,该公司数百台业务电脑,两天来网络一直时断时续,刚才更是突然全部瘫痪。通过交流,微点技术人员在排除交换机、路由器等网络硬件设备故障等因素后,初步断定为臭名昭著的黑金ARP病毒导致。判断出症状,接下来就是如何对症下药去除病灶了。
  新平台不敌ARP欺骗
  ARP病毒不论千变万化,处理原则都是要杀防并举,既要用双向绑定MAC地址来防御ARP欺骗,更要主动出击将ARP毒源连根拔除。对微点技术人员来说,ARP处理方案早已烂熟于胸,检查了一下U盘里的主动防御软件安装程序,即刻出发。
  路上回想了一下近期接到的很多企业的求救,业务部门相对损失小一些,大多都属于间接损失,网络通讯中断,仍然可以用电话传真等通讯手段勉强维持联系沟通;但对于生产车间来说,网络瘫痪造成的损失会非常大,而且直接损失居多。
  到达现场后,B公司领导询问的问题非常直接也非常现实,一是希望尽快恢复网络使用,不要影响该公司发布会工作进度;二是询问此类网络病毒是否会被黑客利用窃取公司重要文件,是否存在泄密?当然,我们非常理解用户的心情,但是技术问题来不得半点虚假,我们需要对情况进行具体摸底调查后才能明确回答B公司领导的问题。
  经与B公司网管沟通后得知,该公司刚刚迁到新址,办公区数千平方米,办公用机数百台,台式机、笔记本、工作站、服务器设备种类繁多,依照业务种类共分为两层,并且随着员工陆续报道,数量还在持续增加。
  刚刚搭建的新平台就被突然袭来的ARP病毒打个措手不及,全网瘫痪。B公司网管使用一些网络工具业已初步确认局域网内有大量的ARP欺骗数据包,也在积极采取措施,将全网断开,并着手利用三层交换机划分VLAN,试图用子网来避免ARP病毒对全网的影响。B公司在防病毒方面既没有部署统一的安全防护软件,也没有做具体规划,任由员工随意安装。只是在近两天出事以后,强行统一安装了一批杀毒软件和防火墙,但是收效甚微。
  了解了基本情况后,下面要做的就是实地查看细节以落实具体解决方案。
  女员工电脑是高危区
  环顾了一下办公区,径直走向了女员工最密集的区域。不要想歪了,这可是多次现场摸索出来的独家经验——女职员较多的部门往往是病毒的重灾区。
  果不其然在B公司财务部随便找了一台电脑做样例,安装微点主动防御软件,重启后即干掉了黑金ARP和著名的灰鸽子木马以及多种网游盗号木马。B公司领导的两个问题在这里都找到了答案,第一,网络瘫痪确为黑金ARP病毒导致,确认了原因我们就有把握在短时间内解决好病毒的问题;第二,盗号木马对公司企业的影响不大,但是灰鸽子之类远程控制木马的现身,表明该公司确实存在有重要文件外泄的可能。当然,具体的病毒清除过程绝不会是一帆风顺,数百台计算机的复杂环境,中间也出了一些小插曲。
  女员工的电脑是病毒、恶意插件的高危区。一位女员工的电脑真的是太“缤纷多彩”了,病毒、木马和插件的种类多得令人实在叹为观止!对于病毒木马,主动防御软件会自动处理并向用户报警告知。插件的清理方法很简单,切换到主动防御软件的系统自启动信息项目,右键隐藏已知的启动信息,用右键菜单将插件一个一个送入回收站即可。
  说实话,真服了这位女士了。她的电脑出现问题已经好几个月了,Windows登录时从输入用户名密码到进入桌面需要忍耐10多分钟,她仍然还能耐心凑合着用。这个问题看似很棘手,似乎无从下手。但是,其实大家都能猜到问题多半是由于某个进程陷入死循环导致,只是苦于找不到具体的进程。
  解决的方法很简单,切换到主动防御软件的进程启动日志项目,一眼就能看到启动过程中有一个异常现象,即有两个进程间的启动时间居然相差了10分钟以上。显然病因就在于前一个进程陷入了死循环,根据路径找到了这个程序,原来是某网络安全服务提供商的企业版客户端,将其卸载后,问题彻底解决。
  某杀毒软件每次启动系统都报毒,但是怎么也杀不掉,这也是一种典型情况,为了便于理解可以形象地称之为子母型木马,即木马母体X.exe运行后生成子木马Y.exe并保护Y.exe不被清除。由于该杀毒软件依靠病毒库仅能查出子木马Y.exe,而查不出木马母体X.exe,所以很必然就导致了这个现象:反复报警子木马Y.exe,但就是无法将其清除,因为子木马Y.exe处于木马母体X.exe保护中。
  解决的方法很简单,只要把木马母体X.exe和子木马Y.exe一并干掉,事情就OK了。为了向用户展示具体的效果,暂时关闭该杀毒软件监控,安装主动防御软件并重启,主动防御技术自动分析木马程序行为以及木马程序之间的逻辑关系,依次将子木马Y.exe和其生成者木马母体X.exe顺利报出,重启后病毒被彻底干掉。
  H集团的所有员工均非常配合网管人员和反病毒专家的工作。在B公司员工的配合下,几个小时就完成了主动防御软件的全网部署工作,黑金ARP病毒清除工作业已同步完成。
lvjie
发表于 2008-1-28 20:19:17 | 显示全部楼层
不错的实例
野马
发表于 2008-1-28 20:38:36 | 显示全部楼层
病毒也欺软怕硬!
微点卫士
发表于 2008-1-28 21:11:08 | 显示全部楼层
这文章是真的假的?那个女员工太厉害了,10分钟的开机时间都能等,佩服。
可惜微点不在上海,否则也可以让他们上门服务咯
我爱舒畅
发表于 2008-1-28 21:17:20 | 显示全部楼层

回复 4楼 微点卫士 的帖子

有一次,我在办公室,有个女老师指着电脑右下角的任务栏问我,这颗蓝色的小星星还蛮好看的,干什么用的?我彻底昏倒
taiw_1144
 楼主| 发表于 2008-1-28 21:19:47 | 显示全部楼层
原帖由 微点卫士 于 2008-1-28 21:11 发表
这文章是真的假的?那个女员工太厉害了,10分钟的开机时间都能等,佩服。
可惜微点不在上海,否则也可以让他们上门服务咯

用百度搜索出来的,但微点在已中毒的电脑上确实有很好的表现,本人在六七台已中毒的电脑上装微点,都能成功清除病毒,且微点防ARP功能也不错,记得有一次数据包流量很大,却打不开网页,打开微点界面一看,没有绑定IP MAC,估计是局域网内有人中ARP了,绑定IP MAC后网速即恢复正常!!!
taiw_1144
 楼主| 发表于 2008-1-28 21:21:10 | 显示全部楼层
原帖由 我爱舒畅 于 2008-1-28 21:17 发表
有一次,我在办公室,有个女老师指着电脑右下角的任务栏问我,这颗蓝色的小星星还蛮好看的,干什么用的?我彻底昏倒

好少有人说微点的托盘图标好看了,哈哈
dave_c
发表于 2008-1-29 09:16:03 | 显示全部楼层
LS,那个蓝色的小星星是微软的反盗版提示吧???
卡巴专家
发表于 2008-1-29 09:33:41 | 显示全部楼层
我看这公司又不是什么国家安全部,有远程控制木马又怎么样,只是会盗号而已,哪来的重要文件泄密,你还以为是国家安全部啊,本小姐真佩服这班神人,谁不知道灰鸽子是盗号的,哪有盗文件的
taiw_1144
 楼主| 发表于 2008-1-29 10:16:03 | 显示全部楼层
原帖由 dave_c 于 2008-1-29 09:16 发表
LS,那个蓝色的小星星是微软的反盗版提示吧???

看帖时太大意,没注意吧。微软的反盗版提示的小星星是蓝色的吗?很久没看过了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-24 07:02 , Processed in 0.319170 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表