毕业论文论文范文课程设计实践报告法律论文英语论文教学论文医学论文农学论文艺术论文行政论文管理论文计算机安全
您现在的位置: 毕业论文 >> 计算机安全 >> 正文

局域网ARP病毒解决办法一例

更新时间:2009-12-27:  来源:毕业论文

局域网ARP病毒解决办法一例
局域网偶尔出现个别电脑无法上网的迹象;
第一次发作时,表现最严重,整个局域网内部的电脑网络异常,受影响的电脑系统反映迟缓,但是任务管理器显示CPU使用率正常,断开网线,系统马上恢复正常;
部分系统网关地址和IP地址错误,网关的MAC地址是一个不存在的虚拟的MAC地址,手动设置IP地址和网关地址后,网络恢复正常。
查找方法:
因局域网电脑数量较多,一台一台的手工查找比较麻烦,于是在一台打印服务器上,安装了 Anti ARP Sniffer Ver 2.0 工具,终于找到了发起ARP攻击的内网MAC地址。
(在网关地址栏输入局域网网关IP地址,然后,点击获取网关MAC地址,再点击自动防护,这个工具就开始侦测局域网内部的ARP攻击或ARP欺骗数据包,检测到这种数据包后,就在左下方的状态栏里面,自动列出发出ARP攻击数据包的电脑的MAC地址)。

解决过程:
根据MAC地址,找到局域网里面相应的电脑,运行任务管理器,一下子就发现好几个病毒的进程:
wab.exe.tmp
55.tmp (是由量个数字或一个数字一个字母组成的随机文件名)
cmd.exe
Xsisock.exe
18147071 (随机文件名,无后缀)
system.exe (蝗虫军团木马群病毒的进程)
另外,发现中毒电脑的杀毒软件的实时监控已经开不出来了,手动启动杀毒程序,两秒内自动退出;
试着终止以上病毒进程,居然比较顺利的终止了病毒进程;
但是,终止病毒进程后,杀软还是开不出来,而且主要病毒文件无法删除(system32目录下有好几十个病毒,drivers目录下有几个病毒,临时目录和IE缓存目录里面有大量病毒)。
只好用PE光盘,启动到PE界面,手动删除以下病毒:
temp目录清空;
IE缓存目录清空;
删除C:\Program Files\Outlook Express目录下的wab.exe.tmp病毒;
删除C:\Program Files\Internet Explorer目录下的两个病毒文件JentNT64.Jmp 、Jet0nN64.987(从文件日期判断,中毒当天创建的文件就是病毒);
删除windows根目录下的npptools.dll 、 packet.dll 、 WanPacket.dll 、wpcap.dll 、Gameeeeeee.pif 、Gameeeeeee.vbs (前四个是ARP病毒的dll文件);
删除system32目录下的病毒文件,有50多个,包括system.exe等蝗虫军团木马群病毒的众多木马病毒;
与system.exe几乎同时创建的.dll文件、.cfg文件、.sys 、.exe 文件全部删除;
删除drivers目录下的54.tmp 、HBKernel32.sys 、winsawids.sys。根据文件创建日期,把最近创建的删除;(值得注意的是,HBKernel32.sys这个驱动级的病毒隐藏较深,根据www.virscan.org网站的查毒报告,至今为止,没有杀软能认出这个危险的病毒,估计是蝗虫军团病毒又升级了);
经分析,以上病毒绝大部分都是从hxxp://u3.exgif.com/网站自动下载的。(我把http 改成hxxp 了)。
删除以上病毒后,重启到windows界面,杀软还是打不开,这次是根本没反映了,而且病毒正在迅速恢复,只好再次启动到PE界面,按照以上步骤重新清除病毒;
然后,重启到windows安全模式,打开注册表,发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Image File ExecutionOptions键项下病毒添加了大量的映像劫持键项,于是删除了Image File Execution Options 键项;
打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks ,删除右边窗口除了"默认"以外的任何内容;
打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,删除右边窗口AppInit键里面的全部内容。
再次试运行杀毒软件,终于可以正常启动了。于是全盘杀毒。
杀毒时,我漏掉的三个病毒被杀软干掉了,还有一个系统文件userinit.exe被病毒感染,被清除病毒后,本来有20多Kb的文件只剩下2Kb了,我估计就是这个文件,导致我刚才手动杀毒差点失败。但是,这个系统文件被杀毒软件杀的太狠了一点,我担心系统会出现问题,于是重启了一次,居然没有问题!!!
此次杀毒后,没有发现后遗症。
后记:
我在IE临时目录里面找到了ARP源病毒vip[1].exe,199kb大小,单独运行这个病毒时发现,离开蝗虫军团木马群病毒的保护伞后,这个病毒一点也不厉害了,狠容易清除,大部分的杀软都能清除这个病毒,包括这个源病毒激活后释放在windows根目录下的几个dll病毒。但是,drivers目录下,后缀为.tmp的ARP病毒文件,至今未有任何杀软认为是病毒。
附注:
文件名称 : HBKernel32.sys
文件大小 : 14703 byte
文件类型 : data
MD5 : 43228c8b8ff196c1c552914aa3f4508a
SHA1 : b7950a4e225393d785bd02cf735cf6a9d9268ac8
扫描结果 : 全部的杀毒软件报告没有发现病毒!
时间 : 2008/12/20 15:48:28 (CST)
后记:
据病毒作者自己透露,这个HBKernl32.sys 的确没有任何作用,程序内容除了一段正版验证程序外,就是骂人的话。到此,基本上可以确认,这次遇到的是蝗虫军团病毒的一个新变种病毒,加入了ARP病毒

局域网ARP病毒解决办法一例下载如图片无法显示或论文不完整,请联系qq752018766
设为首页 | 联系站长 | 友情链接 | 网站地图 |

copyright©751com.cn 辣文论文网 严禁转载
如果本毕业论文网损害了您的利益或者侵犯了您的权利,请及时联系,我们一定会及时改正。