sqfsh - 2012-4-5 23:50:00
公司局域网,一台机器访问了上海财税网好像中招了,
每日网马播报4.5有记录,我搜索找到这里的, 现
访问跳转网页会转到kuk4.sjs1.in上,另外正常网页显示也出现错位等现象,局域网内几台机器都同样症状,怎么解决啊?回家访问同样网页没问题
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 708; .NET CLR 2.0.50727; SE 2.X MetaSr 1.0)
networkedition - 2012-4-6 9:29:00
是访问上海财税网就跳转到kuk4.sjs1.in:kaka2: ,还是访问其它网站也跳转到kuk4.sjs1.in?
sqfsh - 2012-4-6 10:54:00
杀毒软件更新后提示
iframe.B.gen病毒
sqfsh - 2012-4-6 11:09:00
补充个情况,早上刚开机,访问正常了,可过了一段时间情况复现,有框架结构的网页都转向到这个网址,因为在服务器上已禁用了这个地址,所以就会网页结构错位或显示空白页,估计局域网的某台电脑出问题了
networkedition - 2012-4-6 11:10:00
找发包源吧,找到之后断网杀毒。
sqfsh - 2012-4-6 12:31:00
能提示下如何快速有效地找到发包源吗?太难找了
networkedition - 2012-4-6 13:01:00
抓arp包,看看是否有arp攻击,一般这种都是有arp欺骗。
sqfsh - 2012-4-6 15:12:00
找到了,这个木马有专杀工具吗
networkedition - 2012-4-6 15:18:00
装瑞星升级到最新版全盘杀毒,那个每日网马播报的样本瑞星最新版可以查杀。
sqfsh - 2012-4-6 15:47:00
正在断网杀毒中,其它机器已恢复正常
总结一下:该机器也访问过财税网,然后就大量发送ARP包,冒充并接管网关,对经过其中转的有些网站数据头部擅自加入了iframe,指向了kuk4.sjs1.in,造成局域网内机器上网速度慢和无故出现网页结构变化以及各种怪异现象,杀毒软件时常报警。arp -a查询发现网关MAC地址指向错误地址,遂通过该地址找出故障机器。
谢谢斑竹指导!!
networkedition - 2012-4-6 15:52:00
不客气,看那个样本的字符串里有写iframe啊。指向了kuk4.sjs1.in:kaka12: 推荐装瑞星啊,瑞星可以拦截那个恶意网站啊:kaka12:
木風 - 2012-4-7 16:38:00
抓arp包,看看是否有arp攻击,一般这种都是有arp欺骗。具体怎么操作的
木風 - 2012-4-7 16:40:00
补充:现在电脑装了杀毒软件,会直接把杀毒程序损坏,无法进行杀毒
© 2000 - 2024 Rising Corp. Ltd.