https://wiki.cc.ncu.edu.tw/wikicc/api.php?action=feedcontributions&feedformat=atom&user=93000000 2026-05-28T10:04:20Z 使用者貢獻 MediaWiki 1.30.0 https://wiki.cc.ncu.edu.tw/wikicc/index.php?title=Lsass_%E6%9C%A8%E9%A6%AC&diff=279 2007-12-20T06:18:34Z

<p>93000000：</p> <hr /> <div>:1.問題描述 : <br /> ::*近日宿網及校網流行一種隨身碟木馬病毒，中毒者會擴及本機所有硬碟磁區，開啟autorun.inf，會汙染該網段所有電腦的ARP table，將所有client 瀏覽的網頁封包透過中毒者的機器出去，意在增加網路廣告瀏覽率以獲利。<br /> ::*LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站<br /> ::*中毒者會出現的現象<br /> :::*命令提示字元下執行「dir /a」，顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案<br /> ::::1.「ntdeIet」型--大部分防毒軟體可以偵測的到<br /> :::::*有毒的檔案為 auto.exe、autorun.inf、ntdeIect.com<br /> ::::2.「pagefile」型--截至 20071220 為止，目前防毒軟體還偵測不到<br /> :::::*有毒的檔案為 autorun.inf、pagefilel.pif<br /> :::::*pagefile.pif 檔有幾個特徵：<br /> ::::::*檔案大小是 102400bytes 或 10649600bytes，其中 102400bytes 是比較舊的病毒。<br /> :::*ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table，以下是執行「arp -a」的結果<br /> :::[[Image:arp.jpg.png]]<br /> :::*mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量&quot;幾乎&quot;一致<br /> :::[[Image:traffic.jpg]]<br /> <br /> :2.解決方法 : <br /> ::*網路管理者<br /> :::從 router 查詢 arp table 查得實際中毒者，隔離<br /> ::*使用者<br /> :::*關掉自動執行的功能<br /> :::*重灌系統，但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)<br /> <br /> <br /> :3.網路上相關連結:<br /> ::*[http://tw.myblog.yahoo.com/shu-wei/article?mid=2&amp;sc=1 第一二型掃毒程式及說明]<br /> <br /> :4.相關 keyword:(例如：作業系統、應用系統服務．．．）<br /> ::&quot;LSASS&quot; , &quot;usb&quot;<br /> <br /> [[category:資通安全]]<br /> [[category:lsass]]<br /> [[category:木馬]]<br /> [[category:usb]]</div>

93000000