Board logo

标题: 大家来分析这是种什么毐? [打印本页]
作者: 爱在夕阳间    时间: 2005-7-13 23:31     标题: 大家来分析这是种什么毐?

最近**地区网吧包括一些单位经常出现过一段时间就断线2分钟左右并且网速较慢,在电信部门接入设备上发现该用户端的许多IP地址对应为一个MAC地址,到用户端交换机进行抓包发现,
  用户端的某台PC大量发起ARP request的报文,对网络造成一定影响,经查是Win32.Troj.Mir2.XXX类型的病毒造成。在中毒主机上可以查到%Windows%\system\MSSOCK.DLL木马。根据目前观察,木马的主要来源是游戏外挂,比如传奇及时雨外挂等,访问外挂网这类网站的时候要特别注意。
  处理方法:首先使用金山毒霸6最新版检查所有机器,然后将中毒机器脱离网络,检查现木马病毒后最佳是否具有病毒特征。发解决办法是重做系统,也可以通过修改注册表来暂时解决。
  在中毒主机上查找病毒源发现使用病毒使用MSSOCK.DLL木马,病毒EXE程序是%Windows%\Html\scanregw.exe,图标使用的是文本文件的图标,运行后创建%Windows%\Html\(如C:\Windows\Html\或C:\WINNT\Html\)隐藏文件夹,将自身复制其中,并释放MSSOCK.DLL到系统%System%目录且插入Explorer.exe进程,另外还修改系统"启动组"目录指向为%Windows%\Html\,这样当系统启动时就会自动运行%Windows%\Html\目录中的scanregw.exe病毒程序。被修改的"启动组"有两处,分别是HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders和HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下"Startup"的内容,病毒将这两个位置的值修改为了"%Windows%\Html\",这样系统的"启动组"即平时所说的"开始>>程序>>启动"也就变成了那个病毒目录。
解决方法:我们可以先把被病毒修改的"启动组"再修改回来,使病毒不会在系统启动时自动运行。依此点击"开始">>"运行",输入"REGEDIT",点击"确定"(或回车),打开"注册表编辑器",分别定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders和HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders,将它们下边的"Startup"值修改恢复为原来指向的目录,如"C:\WINDOWS\Start Menu\Programs\启动"(Windows 9X),又如"C:\Documents and Settings\Administrator\「开始」菜单\程序\启动"和"%USERPROFILE%\「开始」菜单\程序\启动"(Windows 2000/XP),修改完成后关闭注册表编辑器,重新启动一下计算机。在计算机重新启动后,我们就可以开始删除病毒文件了,不用过多的操作,找到并直接删除%Windows%\Html\隐藏目录(病毒文件scanregw.exe在里面)和%System%\MSSOCK.DLL病毒文件。

安全建议:1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)
     2. 给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户
     3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防护
     4. 关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务
     5. 不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等
作者: chinanoc    时间: 2005-7-14 06:53     标题: 大家来分析这是种什么毐?

恶意外挂,很有可能是盗号用的,在得到登录信息并成功送出之后,用ARP攻击来迫使玩家下线!然后。。。。。



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2