零距离查杀Downloader恶劣木马(1)

 在企业网络维护过程中，病毒是最让网络管理员头疼的敌人，特别是在现今病毒更趋向于网络化发展的情况下，查杀网络病毒的任务将变得更加艰巨。很多时候企业网络中有一台计算机感染了病毒，他会影响到包括服务器在内所有网络设备的正常上网。最近笔者就深深陷入Downloader木马的圈套中，下面就将整个查杀步骤和过程全盘托出，希望对各位IT168的读者有所帮助。

　　一，病毒爆发：

　　笔者负责维护区级核心层网络设备，然而最近来自下属一个部门的网络求救电话越来越多，经过笔者了解具体症状如下——该部门各个计算机由交换机连接到一起，总共有80台员工计算机。出现问题时有些计算机无法访问企业的内部网站和邮件系统，而同一时间该部门的有些计算机又可以顺利访问，笔者又咨询了其他分支机构，员工并没有出现任务访问故障问题。

　　然而于此同时还有一种奇怪的现象，那就是出问题的员工计算机并不是一直无法正常使用，过几个小时后就又一切正常了。而且出现问题时只是内部服务器上的应用服务无法浏览，像sohu搜狐，新浪，IT168等大型门户网站还是可以顺利访问的。

    二，初步排查：

　　首先针对服务器进行检测，由于不可能同时所有服务器都出现问题，而且其他分支机构，包括笔者用自己的机器测试都没有任何问题。所以初步排除了因为企业内部服务器故障造成的网络问题。这样就将怀疑的重点放到了分支机构的网络中。由于出问题的计算机并不是只有一两台，而且出问题计算机存在不确定性，即今天这台出问题，明天那台又出问题了。这让笔者不得不将怀疑的重点放到了病毒身上。

　　为了确定笔者的判断在一台计算机上安装了卡巴斯基最新版并升级了病毒库，当用浏览器访问网页时卡巴斯基提示有病毒，这种问题不光是在访问内部服务器上的应用时出现，访问IT168，搜狐以及百度这些在之前看似正常的网站时也会出现这种病毒警报。病毒警报提示当前页面存在trojan program trojan-downloader.js.psyme.kf病毒，这是一种木马病毒。(如图1)

图1

　　那么为什么这些好好的页面会出现病毒提示信息呢?我们总不能怀疑IT168和百度都被别人挂了木马，而且用其他网段的计算机访问并不会出现报警现象。那么答案只有一个——感染了病毒，根据笔者经验以及在网上查询得知，这就是目前流行的ARP欺骗病毒。笔者再次访问企业内部服务，得到的提示是一样的，看来所有问题和故障都是由这个trojan program trojan-downloader.js.psyme.kf病毒带来的。(如图2) 

图2

　　为了进一步验证笔者的猜想，本人通过在企业内部应用服务器上点右键选择源代码，结果不看不知道一看吓一跳，在出现问题无法顺利访问企业应用服务器时原来是首页被人加上了一行名为 的脚本程序，看来这个就是造成企业服务无法顺利访问以及ARP病毒广泛流传的根源了。(如图3)

图3