[求助] 遭遇ANI病毒，请帮助分析一下

昨天收到短信，学校我管理的WEB服务器出了毛病。。。网络中心的人去检查说发现病毒。。。。偶远程上去查看病毒日志。。。。发现如下病毒。。。。

时间        模件        物件        名称        病毒        操作        用户名称        信息
2007-6-5 9:10:48        AMON        文件        E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CDAJ49YN\ah[1].c        a variant of Win32/TrojanDownloader.Ani.Gen 木马        已隔离 - 已删除        ZMC-SZW\xcbatzmc        程序新建文件时发生事件： E:\KAV2006\KPFW32.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2007-6-5 9:09:06        IMON        文件        http://www.mhkj520.com/wd/ah.c        a variant of Win32/TrojanDownloader.Ani.Gen 木马                ZMC-SZW\xcbatzmc       
2007-6-5 9:08:12        AMON        文件        E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CDAJ49YN\ah[1].c        a variant of Win32/TrojanDownloader.Ani.Gen 木马        已隔离 - 已删除        ZMC-SZW\xcbatzmc        程序新建文件时发生事件： E:\KAV2006\KPFW32.EXE. 文件已被移入隔离区。你可以关闭本窗口。
2007-6-5 9:07:40        IMON        文件        http://www.mhkj520.com/wd/ah.c        a variant of Win32/TrojanDownloader.Ani.Gen 木马                ZMC-SZW\xcbatzmc       

以上推测是网络中心的人在服务器上打开网页是产生的。


使用szw.zmc.edu.cn打开网站发现状态栏正在连接http://www.mhkj520.com/wd/ah.c，用内网IP192.168.11.13连接又能正常打开。。。。。。大家分析一下这是什么道理。是不是他们的域名被劫持了。。

哼哼。。那帮人NB哄哄的。。。。还说是我们的错。。。

我好回去的时候找网络中心的麻烦。。。。

现又有新发现。。

凡是学校内的网站。。在校内用域名打开或用公网IP打开都会有一个<iframe>

在校外则没有。。。在校内用内网IP访问也不会有。

[ 本帖最后由 chinanic 于 2007-6-6 03:41 编辑 ]

鄙人就此问题同Xti9er进行了深入的讨论，并对各种可能的原因进行了彻底的分析，结合现有案例，最终认定此事件是由ARP攻击引起D。。。。

在此感谢Xti9er，嗯。还有麦田的怪同志也及时回答了偶D问题。在此也表示感谢。。。。


可是。。。为啥每次偶发的求助帖都只有我自己在回。。。。我靠。。

nod32一杀就没问题了

ARP攻击引起D,这个结论是正确的

原帖由 chinanic 于 2007-6-6 16:46 发表
鄙人就此问题同Xti9er进行了深入的讨论，并对各种可能的原因进行了彻底的分析，结合现有案例，最终认定此事件是由ARP攻击引起D。。。。

在此感谢Xti9er，嗯。还有麦田的怪同志也及时回答了偶D问题。在此也表 ...

我也是这么觉得啊,,每次我的帖都没人顶啊，,,,感觉好象我在自言自语~:( :(