"Lsass 木馬" 修訂間的差異

出自 NCUCCWiki
前往: 導覽搜尋
行 26: 行 26:
 
::*網路管理者
 
::*網路管理者
 
:::從 router 查詢 arp table 查得實際中毒者,隔離
 
:::從 router 查詢 arp table 查得實際中毒者,隔離
 +
:::Router#sh arp | inc 0000.1cd2.5fb2
 +
:::顯示的畫面
 +
Internet  140.115.7.248          7  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.6.251          9  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.249          27  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.7.253          8  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.6.252          9  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.4.253          9  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.4.252          23  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.8.214          36  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.4.216          14  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.190.1          7  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.182          29  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.167          51  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.147          23  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.4.136          56  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.131          11  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.133          10  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.120          16  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.121          33  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.9.126          7  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.108          48  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.4.96          36  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.88          49  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.85          44  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.75          10  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.72          17  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.79          44  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.76          16  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.4.68          36  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.63          38  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.6.51            9  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.5.48          13  0000.1cd2.5fb2  ARPA  Vlan3004
 +
Internet  140.115.6.52            9  0000.1cd2.5fb2  ARPA  Vlan3004
 +
 +
:::Router#clear arp
 
::*使用者
 
::*使用者
 
:::*關掉自動執行的功能
 
:::*關掉自動執行的功能

於 2008年1月8日 (二) 01:39 的修訂

1.問題描述 :
  • 近日宿網及校網流行一種 Usb 隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。
  • LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站
  • 中毒者會出現的現象
  • 命令提示字元下執行「dir /a」,顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案
1.「ntdeIet」型--大部分防毒軟體可以偵測的到
  • 有毒的檔案為 auto.exeautorun.infntdeIect.com
2.「pagefile」型--截至 2007/12/20 為止,目前防毒軟體還偵測不到
  • 有毒的檔案為 autorun.infpagefile.pif
  • pagefile.pif 檔有幾個特徵:
(1)檔案大小是 102400bytes 或 106496bytes,其中 102400bytes 是比較舊的病毒。
(2)檔案大小雖然都是 106496bytes,但 MD5 值仍有差異:
  • Type01:102400bytes MD5為 6d8280c2b3a8265efe330a50c7db8312
  • Type02:106496bytes MD5為 9f379c72192284ae6f94a5c7eb7f7891
  • Type03:106496bytes MD5為 d9224094e962f66f0822b20439ca12dd
  • ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table,以下是執行「arp -a」的結果
Arp.jpg.png
  • mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量"幾乎"一致
Traffic.jpg
  • 中毒電腦的網路攻擊行為
1.第一步:進行 Arp 廣播,學習與記憶所處網段的 Arp Table 表
2.第二步:對其他電腦進行 arp 攻擊,改掉 Default Gateway 卡號為自己的卡號(即圖中 packet No.250451)
Virus packet.jpg
2.解決方法 :
  • 網路管理者
從 router 查詢 arp table 查得實際中毒者,隔離
Router#sh arp | inc 0000.1cd2.5fb2
顯示的畫面

Internet 140.115.7.248 7 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.6.251 9 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.249 27 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.7.253 8 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.6.252 9 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.4.253 9 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.4.252 23 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.8.214 36 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.4.216 14 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.190.1 7 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.182 29 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.167 51 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.147 23 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.4.136 56 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.131 11 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.133 10 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.120 16 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.121 33 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.9.126 7 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.108 48 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.4.96 36 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.88 49 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.85 44 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.75 10 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.72 17 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.79 44 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.76 16 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.4.68 36 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.63 38 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.6.51 9 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.5.48 13 0000.1cd2.5fb2 ARPA Vlan3004 Internet 140.115.6.52 9 0000.1cd2.5fb2 ARPA Vlan3004

Router#clear arp
  • 使用者
  • 關掉自動執行的功能
(1)進控制台,點選「系統管理工具」
Autorun01.JPG
(2)點選「服務」
Autorun02.JPG
(3)找出「Shell Hardware Detection」,並點兩下
Autorun03.JPG
(4)將啟動類型改成「已停用」,服務狀態則點選「停止」,然後按下「套用」,「確定」之後離開
Autorun04.JPG
(5)注意事項:
  • 若光碟機內已經置入會 autorun 的光碟片時,電腦重開機後有可能還是會自動執行
  • 除上述情形之外,autorun 情形都可避免
  • 重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)


3.網路上相關連結:
4.相關 keyword:(例如:作業系統、應用系統服務...)
"LSASS" , "usb" , "木馬"