"Lsass 木馬" 修訂間的差異

出自 NCUCCWiki
前往: 導覽搜尋
(使用者)
 
(未顯示由 3 位使用者於中間所作的 5 次修訂)
行 1: 行 1:
:1.問題描述 :  
+
==問題描述 : ==
 
::*近日宿網及校網流行一種 Usb 隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。
 
::*近日宿網及校網流行一種 Usb 隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。
 
::*LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站
 
::*LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站
行 23: 行 23:
 
:::[[Image:virus_packet.jpg]]
 
:::[[Image:virus_packet.jpg]]
  
:2.解決方法 :  
+
==解決方法 : ==
::*網路管理者
+
===網路管理者===
 
:::從 router 查詢 arp table 查得實際中毒者,隔離
 
:::從 router 查詢 arp table 查得實際中毒者,隔離
:::Router#sh arp | inc 0000.1cd2.5fb2
+
:::Router#sh arp | inc 0000.1cd2.5fb2 (0000.1cd2.5fb2 中毒host的mac address)
:::顯示的畫面
+
:::顯示的畫面:::[[Image:arp.jpg]]
Internet  140.115.7.248          7  0000.1cd2.5fb2 ARPA  Vlan3004
+
:::清除mac address的指令
Internet  140.115.6.251          9  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.249          27  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.7.253          8  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.6.252          9  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.4.253          9  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.4.252          23  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.8.214          36  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.4.216          14  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.190.1          7  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.182          29  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.167          51  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.147          23  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.4.136          56  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.131          11  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.133          10  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.120          16  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.121          33  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.9.126          7  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.108          48  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.4.96          36  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.88          49  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.85          44  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.75          10  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.72          17  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.79          44  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.76          16  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.4.68          36  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.63          38  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.6.51            9  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.5.48          13  0000.1cd2.5fb2  ARPA  Vlan3004
 
Internet  140.115.6.52            9  0000.1cd2.5fb2  ARPA  Vlan3004
 
 
 
 
:::Router#clear arp  
 
:::Router#clear arp  
::*使用者
+
===使用者===
:::*關掉自動執行的功能
+
:::*建議的標準步驟 [[image:usb_virus.pdf]]
 +
:::*停用 autorun 的方式(個人版請參考方案二) [[image:setup.pdf]]
 +
:::*關掉自動播放(autoplay)的功能
 
::::(1)進控制台,點選「系統管理工具」
 
::::(1)進控制台,點選「系統管理工具」
 
::::[[Image:autorun01.JPG]]
 
::::[[Image:autorun01.JPG]]
行 74: 行 44:
 
::::(5)注意事項:
 
::::(5)注意事項:
 
:::::*'''若光碟機內已經置入會 autorun 的光碟片時,電腦重開機後有可能還是會自動執行'''
 
:::::*'''若光碟機內已經置入會 autorun 的光碟片時,電腦重開機後有可能還是會自動執行'''
:::::*'''除上述情形之外,autorun 情形都可避免'''。
+
:::::*'''停用 autoplay,不代表 autorun 也一併停用'''。
 
:::*重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)
 
:::*重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)
  
 
+
==網路上相關連結:==
:3.網路上相關連結:
 
 
::*[http://tw.myblog.yahoo.com/shu-wei/article?mid=2&sc=1 第一二型掃毒程式及說明]
 
::*[http://tw.myblog.yahoo.com/shu-wei/article?mid=2&sc=1 第一二型掃毒程式及說明]
  
:4.相關 keyword:(例如:作業系統、應用系統服務...)
+
==相關 keyword:(例如:作業系統、應用系統服務...)==
 
::"LSASS" , "usb" , "木馬"
 
::"LSASS" , "usb" , "木馬"
  

於 2008年12月15日 (一) 03:28 的最新修訂

問題描述 :

  • 近日宿網及校網流行一種 Usb 隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。
  • LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站
  • 中毒者會出現的現象
  • 命令提示字元下執行「dir /a」,顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案
1.「ntdeIet」型--大部分防毒軟體可以偵測的到
  • 有毒的檔案為 auto.exeautorun.infntdeIect.com
2.「pagefile」型--截至 2007/12/20 為止,目前防毒軟體還偵測不到
  • 有毒的檔案為 autorun.infpagefile.pif
  • pagefile.pif 檔有幾個特徵:
(1)檔案大小是 102400bytes 或 106496bytes,其中 102400bytes 是比較舊的病毒。
(2)檔案大小雖然都是 106496bytes,但 MD5 值仍有差異:
  • Type01:102400bytes MD5為 6d8280c2b3a8265efe330a50c7db8312
  • Type02:106496bytes MD5為 9f379c72192284ae6f94a5c7eb7f7891
  • Type03:106496bytes MD5為 d9224094e962f66f0822b20439ca12dd
  • ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table,以下是執行「arp -a」的結果
Arp.jpg.png
  • mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量"幾乎"一致
Traffic.jpg
  • 中毒電腦的網路攻擊行為
1.第一步:進行 Arp 廣播,學習與記憶所處網段的 Arp Table 表
2.第二步:對其他電腦進行 arp 攻擊,改掉 Default Gateway 卡號為自己的卡號(即圖中 packet No.250451)
Virus packet.jpg

解決方法 :

網路管理者

從 router 查詢 arp table 查得實際中毒者,隔離
Router#sh arp | inc 0000.1cd2.5fb2 (0000.1cd2.5fb2 中毒host的mac address)
顯示的畫面:::Arp.jpg
清除mac address的指令
Router#clear arp

使用者

(1)進控制台,點選「系統管理工具」
Autorun01.JPG
(2)點選「服務」
Autorun02.JPG
(3)找出「Shell Hardware Detection」,並點兩下
Autorun03.JPG
(4)將啟動類型改成「已停用」,服務狀態則點選「停止」,然後按下「套用」,「確定」之後離開
Autorun04.JPG
(5)注意事項:
  • 若光碟機內已經置入會 autorun 的光碟片時,電腦重開機後有可能還是會自動執行
  • 停用 autoplay,不代表 autorun 也一併停用
  • 重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)

網路上相關連結:

相關 keyword:(例如:作業系統、應用系統服務...)

"LSASS" , "usb" , "木馬"