网络安全 当前位置:首页 > 计算机学习 > 网络知识 > 网络安全>正文

ARP病毒可能的表现形式 进程 端口 及解决方法(个人看法)推荐

【网络安全】 2018-01-26本文已影响
先说可能的解决办法。后面的以后再说。 ujE68学习网-学习教育资源分享平台
到[url]www.360safe.com[/url]下载目前最新版的360安全卫士。不过这个软件可能跟雅虎助手有不兼容现象。原因了解互联网两家公司的都明白他们的恩怨。这是一款免费软件。如果你使用他的杀毒功能。比如symantc那部分还是要注册的。我们不用那部分。我使用的是绿色版。也就是不用安装的。网站下载的是需要安装的。界面是相同的。更新到最新病毒库后。选择查杀--查杀恶意软件。会列出计算机上安装的恶意软件。清理一下。重启。建议在安全模式下查杀。 ujE68学习网-学习教育资源分享平台
ujE68学习网-学习教育资源分享平台
一般中毒用户的里面会有一个叫u1.sky99.cn的恶意插件。这是一个木马程序。威胁级别高。(不排除变种叫别的名字)把他杀了。其他的如果有也都杀了。恶意插件也不是好东西。 ujE68学习网-学习教育资源分享平台
ujE68学习网-学习教育资源分享平台
希望能够碰见的人可以测试一下。我都是在xp系统上做的。对2000跟2003没有太多尝试。大家看看行不行吧。我接触到的都是这样。 ujE68学习网-学习教育资源分享平台
ujE68学习网-学习教育资源分享平台
如果想知道杀没杀掉。有一个可能的方法。一般中毒用户中毒时在CMD窗口下输入字母的速度很慢。输一个字符一般有1到2秒的延时。杀完毒的不会。变快了很多。这可能是因为病毒是利用CPU的处理功能来制造大量假包。而CMD的命令处理也主要依靠CPU的原因。 ujE68学习网-学习教育资源分享平台
ujE68学习网-学习教育资源分享平台
目前我得案例大部分成功。但是用户重启后可能会有报错的情况.多是一些木马插件的残留文件。最好在安全模式下。清干净就不报错了。有一些用户用别的杀毒软件杀完也会这样。 ujE68学习网-学习教育资源分享平台
ujE68学习网-学习教育资源分享平台
不过我们不能承诺用户在360杀毒重启后系统能够正常。毕竟杀毒要删文件。但是比重做系统要好很多。而且360不要钱。文件很小。杀起来也很快。实在不行的还需要重做系统才可以。 ?先说下360这个软件。他是由奇虎出品的。老总是周鸿??。最早的3721这个软件就是他创办的。后来被雅虎收购。3721就改名叫了雅虎助手。因为与高层不合。最后离开了雅虎。自己创办了360安全卫士。其实大家都知道3721本来就是个著名的流氓软件。(很著名很著名)现在写流氓软件的人跑出来写安全软件安全软件。那自然是厉害的很。所以前段时间雅虎中国的现任总裁田健就公然在媒体指责周鸿??忘恩负义。弄的雅虎的老总杨致远跟马云都绞了进去。呵呵。真是热闹的很。 ujE68学习网-学习教育资源分享平台
ujE68学习网-学习教育资源分享平台
360有这样的技术后台。杀起恶意插件来。那该是厉害的很。呵呵 ??说说病毒的端口。其实真的说来。这个软件应该没有端口。因为端口是四层网络层上的接口。可是这个病毒做为ARP病毒。他是3层的。也就是说他的影响可以不要端口。有端口的应该是变种。开设端口的目的是为了传播病毒。一般中毒的机子在开机后会扫整个网段的在线IP。并且企图连接80。139。445端口。其中139。445是病毒常攻击的端口。等扫完整个网段后。病毒机器的arp表里还会有了一张完整的IP与MAC对应关系。后面好像他们就不怎么扫端口了。可以在开机后CMD后。不停的netstat-an。就可以看出来他们在不停的扫。我在vmware中虚拟了一台中病毒的机子。开机后用sniffer这个著名的嗅探器嗅探。看到了如下结果。 ujE68学习网-学习教育资源分享平台
可以看出源端口号在变。目的端口一直为80。139。445。并企图建立连接。 ???因为在vmware中。一直没有真的连在外面网上。病毒认为我这个网没可以利用得主机。所以后面也不扫端口了。直接IP了。但是在里面一直出现WINS中一直出现2个名字BD.JACAI.COMWMSJSF.COM其中WMSJSF.COM显示错误403。可是BD.JACAI.COM确跳转到了[url]www.4199.com[/url]。这正是中毒主机的主页。你无法修改主页。只有杀完病毒后在安全模式下将c:\windows\rsrc.dll删除才可以。也许这就是病毒得商业价值。点击率。aleax排名。风险投资或是收购。上市。。信息时代的英才。(不是说有的都有[url]www.4199.com[/url]这种现象) ??? 说完端口说进程。现这个进程表里看上去很正常。其实里面确有2个是病毒的进程。一个是rundl1.exe一个是svhost。这是在靠你的眼里rundl1.exe最后一个不是L是1。而svhost伪造的是svchost。一般来说svchost都是系统服务。他是不会以用户的名义启动的。比如下图中他以test启动的进程。这明显是假的。而rundl1.exe仔细看是能看出来l与1的区别的。还有可能用户利用EXPL0RER.EXE其中O并不是字母而是数字0。我在用户那里看见最多的是rundl1.exe还有就是???用processexplorer就可以看的更清楚。彩色不是我后加的。这个系统会自动显示出来。这个进程没有描述没有公司名。呵呵。(不过FBnclient.exe可不是病毒。)这个软件更可以看出系统调用的一些文件。(rsrc.dll就是用它查出来的。杀了就可以改主页了。)我在中毒用户电脑上用这个软件右键关闭这些进程。在平台上链用户。用户的IP就固定回了原来自己的IP了。可见系统的确是在用这几个进程工作着。 ??下一篇:ARP病毒可能的表现形式 进程 端口 及解决方法(续)?版权声明:原创作品,如需转载,请注明出处。否则将追究法律责任

本站所有资源均来自于68学习网蜘蛛爬取结果,如您发现侵权、违法、存在不和谐内容,告知本站一律删除

本站不以盈利为目的,全站资源仅供学习爱好使用。本站站长邮箱:luo689up@foxmail.com

备案号:闽ICP备15018334号-2

©68学习网  2016-2017版权所有     站点地图

回到顶部