檢視 Lsass 木馬 的原始碼
←
Lsass 木馬
前往:
導覽
、
搜尋
由於下列原因,您沒有權限進行 編輯此頁面 的動作:
您請求的操作只有這個群組的使用者能使用:
使用者
您可以檢視並複製此頁面的原始碼。
:1.問題描述 : ::*近日宿網及校網流行一種隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。 ::*LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站 ::*中毒者會出現的現象 :::*命令提示字元下執行「dir /a」,顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案 ::::1.「ntdeIet」型--大部分防毒軟體可以偵測的到 :::::*有毒的檔案為 auto.exe、autorun.inf、ntdeIect.com ::::2.「pagefile」型--截至 20071220 為止,目前防毒軟體還偵測不到 :::::*有毒的檔案為 autorun.inf、pagefilel.pif :::::*pagefile.pif 檔有幾個特徵: ::::::(1)檔案大小是 102400bytes 或 106496bytes,其中 102400bytes 是比較舊的病毒。 ::::::(2)檔案大小雖然都是 106496bytes,但 MD5 值仍有差異: :::::::*Type01:102400bytes MD5為 '''6d8280c2b3a8265efe330a50c7db8312''' :::*ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table,以下是執行「arp -a」的結果 :::[[Image:arp.jpg.png]] :::*mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量"幾乎"一致 :::[[Image:traffic.jpg]] :2.解決方法 : ::*網路管理者 :::從 router 查詢 arp table 查得實際中毒者,隔離 ::*使用者 :::*關掉自動執行的功能 :::*重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟) :3.網路上相關連結: ::*[http://tw.myblog.yahoo.com/shu-wei/article?mid=2&sc=1 第一二型掃毒程式及說明] :4.相關 keyword:(例如:作業系統、應用系統服務...) ::"LSASS" , "usb" [[category:資通安全]] [[category:lsass]] [[category:木馬]] [[category:usb]]
返回「
Lsass 木馬
」頁面
導覽選單
個人工具
登入
命名空間
頁面
討論
變體
檢視
閱讀
檢視原始碼
檢視歷史
更多
搜尋
智財權專區
國立中央大學保護智慧財產權專區
導覽
首頁
熱門頁面
近期變更
隨機頁面
分類
版權訊息
說明
網站日誌
服務問題集
新生必讀文件
電算中心各項服務SOP
行政部門各類服務
圖書館
電子公文常見問題
網路服務
Email
VoIP
校園軟體
BB教學
網路管理維護
電腦教室管理
桃園區網中心
ServiceDesk
技術文件
系統管理
資通安全
程式設計
資料庫管理
多媒體應用
工具
連結至此的頁面
相關變更
特殊頁面
頁面資訊