"Lsass 木馬" 修訂間的差異

於 2008年1月8日 (二) 01:44 的修訂

1.問題描述 :

近日宿網及校網流行一種 Usb 隨身碟木馬病毒，中毒者會擴及本機所有硬碟磁區，開啟autorun.inf，會汙染該網段所有電腦的ARP table，將所有client 瀏覽的網頁封包透過中毒者的機器出去，意在增加網路廣告瀏覽率以獲利。
LSASS 中毒會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結會亂跑,出現色情網站
中毒者會出現的現象

命令提示字元下執行「dir /a」，顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案

1.「ntdeIet」型--大部分防毒軟體可以偵測的到

有毒的檔案為 auto.exe、autorun.inf、ntdeIect.com

2.「pagefile」型--截至 2007/12/20 為止，目前防毒軟體還偵測不到

有毒的檔案為 autorun.inf、pagefile.pif
pagefile.pif 檔有幾個特徵：

(1)檔案大小是 102400bytes 或 106496bytes，其中 102400bytes 是比較舊的病毒。

(2)檔案大小雖然都是 106496bytes，但 MD5 值仍有差異：

Type01:102400bytes MD5為 6d8280c2b3a8265efe330a50c7db8312
Type02:106496bytes MD5為 9f379c72192284ae6f94a5c7eb7f7891
Type03:106496bytes MD5為 d9224094e962f66f0822b20439ca12dd

ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table，以下是執行「arp -a」的結果

mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量"幾乎"一致

中毒電腦的網路攻擊行為

1.第一步：進行 Arp 廣播，學習與記憶所處網段的 Arp Table 表

2.第二步：對其他電腦進行 arp 攻擊，改掉 Default Gateway 卡號為自己的卡號(即圖中 packet No.250451)

2.解決方法 :

網路管理者

從 router 查詢 arp table 查得實際中毒者，隔離

Router#sh arp | inc 0000.1cd2.5fb2

顯示的畫面:::

Router#clear arp

使用者

關掉自動執行的功能

(1)進控制台，點選「系統管理工具」

(2)點選「服務」

(3)找出「Shell Hardware Detection」，並點兩下

(4)將啟動類型改成「已停用」，服務狀態則點選「停止」，然後按下「套用」，「確定」之後離開

(5)注意事項：

若光碟機內已經置入會 autorun 的光碟片時，電腦重開機後有可能還是會自動執行
除上述情形之外，autorun 情形都可避免。

重灌系統，但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)

3.網路上相關連結:

第一二型掃毒程式及說明

4.相關 keyword:(例如：作業系統、應用系統服務．．．）

"LSASS" , "usb" , "木馬"

@@ 行 27： / 行 27： @@
 :::從 router 查詢 arp table 查得實際中毒者，隔離
 :::Router#sh arp | inc 0000.1cd2.5fb2
-:::顯示的畫面
+:::顯示的畫面:::[[Image:arp.jpg]]
-Internet  140.115.7.248           7   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.6.251           9   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.249          27   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.7.253           8   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.6.252           9   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.4.253           9   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.4.252          23   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.8.214          36   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.4.216          14   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.190.1           7   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.182          29   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.167          51   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.147          23   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.4.136          56   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.131          11   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.133          10   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.120          16   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.121          33   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.9.126           7   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.108          48   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.4.96           36   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.88           49   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.85           44   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.75           10   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.72           17   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.79           44   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.76           16   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.4.68           36   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.63           38   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.6.51            9   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.5.48           13   0000.1cd2.5fb2  ARPA   Vlan3004
-Internet  140.115.6.52            9   0000.1cd2.5fb2  ARPA   Vlan3004
 :::Router#clear arp
 ::*使用者

"Lsass 木馬" 修訂間的差異

於 2008年1月8日 (二) 01:44 的修訂

導覽選單

個人工具

命名空間

變體

檢視

更多

搜尋

智財權專區

導覽

服務問題集

技術文件

工具