交流 › 网络技术 › 关于近期影响网吧线路病毒的通告

easehu 发表于 2005-2-15 00:10:45

关于近期影响网吧线路病毒的通告   近段时间很多网吧反映频繁掉线，我公司多次检查，均排除网络故障引起。2月7日经过查处，确认目前引起网吧掉线的原因是病毒引起，该问题在全省均有发生，该病毒对主机代理和路由器代理的网吧均会造成影响。该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网吧均会造成影响，用户表现为上网经常瞬断。一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp ?a命令查看：C:\WINNT\system32>arp -aInterface: 192.168.0.193 on Interface 0x1000003Internet Address      Physical Address      Type192.168.0.1      00-50-da-8a-62-2c   dynamic192.168.0.23      00-11-2f-43-81-8b   dynamic192.168.0.24      00-50-da-8a-62-2c   dynamic192.168.0.25      00-05-5d-ff-a8-87   dynamic192.168.0.200      00-50-ba-fa-59-fe   dynamic可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.0.24实际上为有病毒的机器，它伪造了192.168.0.1的MAC地址。二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp ?a命令查看：C:\WINNT\system32>arp -aInterface: 192.168.0.24 on Interface 0x1000003Internet Address      Physical Address      Type192.168.0.1      00-02-ba-0b-04-32   dynamic192.168.0.23      00-11-2f-43-81-8b   dynamic192.168.0.25      00-05-5d-ff-a8-87   dynamic192.168.0.193      00-11-2f-b2-9d-17   dynamic192.168.0.200      00-50-ba-fa-59-fe   dynamic可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后网吧内所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。三、如果主机可以进入dos窗口，用arp ?a命令可以看到类似下面的现象：C:\WINNT\system32>arp -aInterface: 192.168.0.1 on Interface 0x1000004Internet Address      Physical Address      Type192.168.0.23      00-50-da-8a-62-2c   dynamic192.168.0.24      00-50-da-8a-62-2c   dynamic192.168.0.25      00-50-da-8a-62-2c   dynamic192.168.0.193      00-50-da-8a-62-2c   dynamic192.168.0.200      00-50-da-8a-62-2c   dynamic该病毒不发作的时候，在代理服务器上看到的地址情况如下：C:\WINNT\system32>arp-aInterface: 192.168.0.1 on Interface 0x1000004Internet Address      Physical Address      Type192.168.0.23      00-11-2f-43-81-8b   dynamic192.168.0.24      00-50-da-8a-62-2c   dynamic192.168.0.25      00-05-5d-ff-a8-87   dynamic192.168.0.193      00-11-2f-b2-9d-17   dynamic192.168.0.200      00-50-ba-fa-59-fe   dynamic 病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。解决办法：一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。1．在所有的客户端机器上做网关服务器的ARP静态绑定。首先在网关服务器（代理主机）的电脑上查看本机MAC地址C:\WINNT\system32>ipconfig/allEthernet adapter 本地连接 2:      Connection-specific DNS Suffix. :      Description . . . . . . . . . . . : Intel?PRO/100B PCI Adapter (TX)      Physical Address. . . . . . . . . : 00-02-ba-0b-04-32      Dhcp Enabled. . . . . . . . . . . : No      IP Address. . . . . . . . . . . . : 192.168.0.1      Subnet Mask . . . . . . . . . . . : 255.255.255.0       然后在客户机器的DOS命令下做ARP的静态绑定C:\WINNT\system32>arp?s192.168.0.100-02-ba-0b-04-32注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。 2．在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定首先在所有的客户端机器上查看IP和MAC地址，命令如上。然后在代理主机上做所有客户端服务器的ARP静态绑定。如：C:\winnt\system32> arp?s192.168.0.2300-11-2f-43-81-8b    C:\winnt\system32> arp?s192.168.0.2400-50-da-8a-62-2c    C:\winnt\system32> arp?s192.168.0.2500-05-5d-ff-a8-87。。。。。。。。。 3．以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：该网吧发现的病毒是变速齿轮2.04B中带的，病毒程序在 http://www.wgwang.com/list/3007.html 可下载到：1、KAV(卡巴斯基)，可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.c杀毒信息：07.02.2005 10:48:00    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\B005Z0K9\Gear_Setup.exeinfectedTrojanDropper.Win32.Juntador.c2、瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f3、另：别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况。附：“密码助手”病毒及TrojanDropper.Win32.Juntador.c 病毒介绍地址：http://db.kingsoft.com/c/2004/11/22/152800.shtmlhttp://www.pestpatrol.com/pest_info/zh/t/t..._juntador_c.asp

jk0wg 发表于 2005-2-15 13:01:10

关注下....

boylei767 发表于 2005-2-16 23:39:20

请报出二层交换机的型号好么？？？？

easehu 发表于 2005-2-18 00:50:55

不好意思，网吧一般不用绑MAC 的交换机，呵呵，要的话查 ZOL.COM.CN里面2000-1000000的能绑定。不要看晕了啊，这个是个参考价格范围。

wavecb 发表于 2005-2-18 22:26:25

我用ros帮定了一下，过关了

GuYihao 发表于 2005-2-18 22:52:39

QUOTE (easehu @ Feb 15 2005, 12:10 AM)
关于近期影响网吧线路病毒的通告   近段时间很多网吧反映频繁掉线，我公司多次检查，均排除网络故障引起。2月7日经过查处，确认目前引起网吧掉线的原因是病毒引起，该问题在全省均有发生，该病毒对主机代理和路由器代理的网吧均会造成影响。该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网吧均会造成影响，用户表现为上网经常瞬断。一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp ?a命令查看：C:\WINNT\system32>arp -aInterface: 192.168.0.193 on Interface 0x1000003Internet Address      Physical Address      Type192.168.0.1      00-50-da-8a-62-2c   dynamic192.168.0.23      00-11-2f-43-81-8b   dynamic192.168.0.24      00-50-da-8a-62-2c   dynamic192.168.0.25      00-05-5d-ff-a8-87   dynamic192.168.0.200      00-50-ba-fa-59-fe   dynamic可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.0.24实际上为有病毒的机器，它伪造了192.168.0.1的MAC地址。二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp ?a命令查看：C:\WINNT\system32>arp -aInterface: 192.168.0.24 on Interface 0x1000003Internet Address      Physical Address      Type192.168.0.1      00-02-ba-0b-04-32   dynamic192.168.0.23      00-11-2f-43-81-8b   dynamic192.168.0.25      00-05-5d-ff-a8-87   dynamic192.168.0.193      00-11-2f-b2-9d-17   dynamic192.168.0.200      00-50-ba-fa-59-fe   dynamic可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后网吧内所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。三、如果主机可以进入dos窗口，用arp ?a命令可以看到类似下面的现象：C:\WINNT\system32>arp -aInterface: 192.168.0.1 on Interface 0x1000004Internet Address      Physical Address      Type192.168.0.23      00-50-da-8a-62-2c   dynamic192.168.0.24      00-50-da-8a-62-2c   dynamic192.168.0.25      00-50-da-8a-62-2c   dynamic192.168.0.193      00-50-da-8a-62-2c   dynamic192.168.0.200      00-50-da-8a-62-2c   dynamic该病毒不发作的时候，在代理服务器上看到的地址情况如下：C:\WINNT\system32>arp-aInterface: 192.168.0.1 on Interface 0x1000004Internet Address      Physical Address      Type192.168.0.23      00-11-2f-43-81-8b   dynamic192.168.0.24      00-50-da-8a-62-2c   dynamic192.168.0.25      00-05-5d-ff-a8-87   dynamic192.168.0.193      00-11-2f-b2-9d-17   dynamic192.168.0.200      00-50-ba-fa-59-fe   dynamic 病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。解决办法：一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。1．在所有的客户端机器上做网关服务器的ARP静态绑定。首先在网关服务器（代理主机）的电脑上查看本机MAC地址C:\WINNT\system32>ipconfig/allEthernet adapter 本地连接 2:      Connection-specific DNS Suffix. :      Description . . . . . . . . . . . : Intel?PRO/100B PCI Adapter (TX)      Physical Address. . . . . . . . . : 00-02-ba-0b-04-32      Dhcp Enabled. . . . . . . . . . . : No      IP Address. . . . . . . . . . . . : 192.168.0.1      Subnet Mask . . . . . . . . . . . : 255.255.255.0       然后在客户机器的DOS命令下做ARP的静态绑定C:\WINNT\system32>arp?s192.168.0.100-02-ba-0b-04-32注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。 2．在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定首先在所有的客户端机器上查看IP和MAC地址，命令如上。然后在代理主机上做所有客户端服务器的ARP静态绑定。如：C:\winnt\system32> arp?s192.168.0.2300-11-2f-43-81-8b    C:\winnt\system32> arp?s192.168.0.2400-50-da-8a-62-2c    C:\winnt\system32> arp?s192.168.0.2500-05-5d-ff-a8-87。。。。。。。。。 3．以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：该网吧发现的病毒是变速齿轮2.04B中带的，病毒程序在 http://www.wgwang.com/list/3007.html 可下载到：1、KAV(卡巴斯基)，可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.c杀毒信息：07.02.2005 10:48:00    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\B005Z0K9\Gear_Setup.exeinfectedTrojanDropper.Win32.Juntador.c2、瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f3、另：别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况。附：“密码助手”病毒及TrojanDropper.Win32.Juntador.c 病毒介绍地址：http://db.kingsoft.com/c/2004/11/22/152800.shtmlhttp://www.pestpatrol.com/pest_info/zh/t/t..._juntador_c.asp
拜托这是无锡电信的公告

ycfei 发表于 2005-2-19 12:36:56

不错.顶一个了...

cxkdl11 发表于 2005-2-25 18:54:53

现在病毒真厉害，谢谢提醒，希望尽快使用ipv6

easehu 发表于 2005-2-26 00:06:34

无锡电信的公告呵呵，这个我知道，不过大家发现了怎么没有转呢？

一路风尘 发表于 2005-3-3 13:14:29

因为这个我把网吧的系统全换成XP了。。。

zychh 发表于 2005-3-3 13:18:02

arp欺骗

srsnjust1 发表于 2005-3-3 13:47:45

木马

srsnjust1 发表于 2005-3-3 13:48:04

这个病毒还是很厉害的

cxkdl11 发表于 2005-3-3 18:05:56

在中毒主机上查找病毒源发现使用病毒使用MSSOCK.DLL木马，病毒EXE程序是%Windows%\Html\scanregw.exe，图标使用的是文本文件的图标，运行后创建%Windows%\Html\（如C:\Windows\Html\或C:\WINNT\Html\）隐藏文件夹，将自身复制其中，并释放MSSOCK.DLL到系统%System%目录且插入Explorer.exe进程，另外还修改系统“启动组”目录指向为%Windows%\Html\，这样当系统启动时就会自动运行%Windows%\Html\目录中的scanregw.exe病毒程序。被修改的“启动组”有两处，分别是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下"Startup"的内容，病毒将这两个位置的值修改为了"%Windows%\Html\"，这样系统的“启动组”即平时所说的“开始>>程序>>启动”也就变成了那个病毒目录。　　解决方法：我们可以先把被病毒修改的“启动组”再修改回来，使病毒不会在系统启动时自动运行。依此点击“开始”>>“运行”，输入“REGEDIT”，点击“确定”（或回车），打开“注册表编辑器”，分别定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders，将它们下边的"Startup"值修改恢复为原来指向的目录，如“C:\WINDOWS\Start Menu\Programs\启动”（Windows 9X），又如“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动”和“%USERPROFILE%\「开始」菜单\程序\启动”（Windows 2000/XP），修改完成后关闭注册表编辑器，重新启动一下计算机。在计算机重新启动后，我们就可以开始删除病毒文件了，不用过多的操作，找到并直接删除%Windows%\Html\隐藏目录（病毒文件scanregw.exe在里面）和%System%\MSSOCK.DLL病毒文件

sweet191 发表于 2005-3-3 22:10:14

有用的帖子。GOOD

查看完整版本: 关于近期影响网吧线路病毒的通告