磁碟机病毒(高危?)
http://www.cnbeta.com/articles/51399.htm转kaida老师提供的一篇资料
原文在这里http://forum.ccert.edu.cn/
针对当前磁碟机病毒(包含ARP欺骗)的严重安全威胁(近期统计校内90%以上的ARP欺骗和这种病毒相关),边界路由器增加 1 条黑洞路由
ip route 222.208.183.0/24 null0
222.208.183.204对应域名有
www.gxgxy.net
l.52hxsh.com
kayidm.com
w.c0mo.com
feihua8.com
jj.hhhqd.net
kayidm.com
ok.52hxsh.com
d.52hxsh.com
jj.gxgxy.net
360.gxgxy.net
*.52hxsh.com
.......
222.208.183.241 (最近几天换成了 222.208.183.243) 对应域名有
pytop.com
js.k0102.com
dd.hhhqd.net
.......
已知感染这种病毒后会首先自动连接上面 几个IP地址的web服务器下载一批新的病毒和木马(包括ARP欺骗类型病毒等)来感染用户。
如果连接不上新的服务器,这种病毒对用户和对网络的威胁就大大降低。
已知去年以来磁碟机病毒内置访问的域名对应的IP可能会在这几个IP地址之间变化,但不会超过这个C类地址的范围。
此病毒变种繁多,并且在不断更新升级,可以绕过主动防御、Hips、Byshell技术、监控文件和窗口、破坏组策略/IFEO、U盘感染、进程守护、关绝大部分杀毒软件和屏蔽常见安全工具、感染非系统分区下EXE等文件((包括rar中的exe文件))、关闭自动更新破坏安全模式、删除显示受保护的隐藏系统文件选项、开启驱动器自动播放 autorun、浏览器弹出广告、使用ARP欺骗,坏事做绝,普通用户难以处理。
[ 本帖最后由 aaaa007cn 于 2008-3-19 21:02 编辑 ] 一般怎么中的?如何防范?
我机器裸奔的。有点担心。 我还没接触过。。。
猜测可能类似一般的网页木马
挂iframe或者挂javascript脚本那样的
感染一台机器后再在局域网内疯狂传播
[ 本帖最后由 aaaa007cn 于 2008-3-18 21:10 编辑 ] 前几天刚中,好象没那么恐怖
回复 #5 vhf 的帖子
看这个是去年就有的吧怎么突然之间大爆发了?
这几天好几个门户都提到了 QUOTE:
针对当前磁碟机病毒(包含ARP欺骗)的严重安全威胁(近期统计校内90%以上的ARP欺骗和这种病毒相关),边界路由器增加 1 条黑洞路由
ip route 222.208.183.0/24 null0
222.208.183.204对应域名有
www.gxgxy.net
l.52hxsh.com
kayidm.com
w.c0mo.com
feihua8.com
jj.hhhqd.net
kayidm.com
ok.52hxsh.com
d.52hxsh.com
jj.gxgxy.net
360.gxgxy.net
*.52hxsh.com
:sleepy: 我想知道有人会蛋痛输入上面的网址么:beard:
话说回来前天去把友人把工作室的机器全部重装,昨天就打电话给我说中了这个,手动删非常麻烦。
:sleepy: 专杀工具没什么用。看rp吧,卡巴7.0之类的主动防御太弱了。 这玩意太流氓了,ARP+autorun+感染EXE,html文件,还禁用安全模式,校园网已经艹的鸡飞狗跳了,前几天被感染被迫全盘格掉,专杀根本没用,变种太快了:mad: 现在专杀出来了! 用Linux就不怕了吧 360免疫怎么样 好用否? 江民出专杀了,几乎完美解决 原帖由 applegreen 于 2008-3-19 23:47 发表 http://bbs.saraba1st.com/images/common/back.gif
360免疫怎么样 好用否?
360的1.7 dummycom专杀才出来一天就被变种干掉了
杀此病毒的注意事项1是,断网!!!
http://bbs.saraba1st.com/thread-342681-1-1.html 详情请参见此贴
页:
[1]