磁碟机病毒（高危？）

aaaa007cn

http://www.cnbeta.com/articles/51399.htm

转kaida老师提供的一篇资料
原文在这里http://forum.ccert.edu.cn/

针对当前磁碟机病毒(包含ARP欺骗)的严重安全威胁(近期统计校内90%以上的ARP欺骗和这种病毒相关)，边界路由器增加 1 条黑洞路由

ip route 222.208.183.0/24 null0
222.208.183.204  对应域名有
www.gxgxy.net
l.52hxsh.com
kayidm.com
w.c0mo.com
feihua8.com
jj.hhhqd.net
kayidm.com
ok.52hxsh.com
d.52hxsh.com
jj.gxgxy.net
360.gxgxy.net
*.52hxsh.com
.......
222.208.183.241 (最近几天换成了 222.208.183.243)   对应域名有
pytop.com
js.k0102.com
dd.hhhqd.net
.......

已知感染这种病毒后会首先自动连接上面 几个IP地址的web服务器下载一批新的病毒和木马(包括ARP欺骗类型病毒等)来感染用户。
如果连接不上新的服务器，这种病毒对用户和对网络的威胁就大大降低。

已知去年以来磁碟机病毒内置访问的域名对应的IP可能会在这几个IP地址之间变化，但不会超过这个C类地址的范围。

此病毒变种繁多，并且在不断更新升级，可以绕过主动防御、Hips、Byshell技术、监控文件和窗口、破坏组策略/IFEO、U盘感染、进程守护、关绝大部分杀毒软件和屏蔽常见安全工具、感染非系统分区下EXE等文件（（包括rar中的exe文件））、关闭自动更新破坏安全模式、删除显示受保护的隐藏系统文件选项、开启驱动器自动播放 autorun、浏览器弹出广告、使用ARP欺骗，坏事做绝，普通用户难以处理。

[ 本帖最后由 aaaa007cn 于 2008-3-19 21:02 编辑 ]

aitv

一般怎么中的？如何防范？

我机器裸奔的。有点担心。

aaaa007cn

我还没接触过。。。

猜测可能类似一般的网页木马
挂iframe或者挂javascript脚本那样的
感染一台机器后再在局域网内疯狂传播

[ 本帖最后由 aaaa007cn 于 2008-3-18 21:10 编辑 ]

FF-安迪(BH)

前几天刚中,好象没那么恐怖

aaaa007cn

看这个是去年就有的吧
怎么突然之间大爆发了？
这几天好几个门户都提到了

lstar123

QUOTE:
针对当前磁碟机病毒(包含ARP欺骗)的严重安全威胁(近期统计校内90%以上的ARP欺骗和这种病毒相关)，边界路由器增加 1 条黑洞路由

ip route 222.208.183.0/24 null0
222.208.183.204  对应域名有
www.gxgxy.net
l.52hxsh.com
kayidm.com
w.c0mo.com
feihua8.com
jj.hhhqd.net
kayidm.com
ok.52hxsh.com
d.52hxsh.com
jj.gxgxy.net
360.gxgxy.net
*.52hxsh.com
:sleepy: 我想知道有人会蛋痛输入上面的网址么:beard:
话说回来前天去把友人把工作室的机器全部重装，昨天就打电话给我说中了这个，手动删非常麻烦。
:sleepy: 专杀工具没什么用。看rp吧，卡巴7.0之类的主动防御太弱了。

多多天下

这玩意太流氓了，ARP+autorun+感染EXE,html文件，还禁用安全模式，校园网已经艹的鸡飞狗跳了，前几天被感染被迫全盘格掉，专杀根本没用，变种太快了:mad:

kenden

现在专杀出来了！

0258520

用Linux就不怕了吧

applegreen

360免疫怎么样 好用否？

jFz

江民出专杀了，几乎完美解决

jFz

原帖由 applegreen 于 2008-3-19 23:47 发表
360免疫怎么样 好用否？

360的1.7 dummycom专杀才出来一天就被变种干掉了

杀此病毒的注意事项1是，断网！！！


http://bbs.saraba1st.com/thread-342681-1-1.html 详情请参见此贴