[原创] 用网络分析发现ARP扫描和ARP病毒木马的全过程~

天蓝

由于从事网络多年，也有良好的安全使用习惯，对于网络病毒或木马都不太担心，只要不去打开不明的邮件附件，安装上防火墙和杀毒软件，很难感染上这些讨厌的病毒和木马。下面是我发现本机中招的经历，帖出来与大家分享一下，并且附工程文件。

本人使用是WinXP操作系统，升级到SK2，安装了防火墙 ZoneAlarm Pro 6.5.722，杀毒软件是用的卡巴斯基。应该是很安全的防范，不知道大家是不是都是用的这样的防火墙和杀毒工具。下面说一下发现中招的过程：

早上起来，收邮件，总觉得机器响应很慢，关掉foxmail，IE浏览器，也关掉了photoshop，这个东西占用内存也不少。现在基本上没有什么执行的应用程序了，但情况一直不见好转，硬盘灯在不断的闪，显然是在读或写操作。前几天听一哥们儿说感染了木马，有ARP扫描，是用科来网络分析系统看出来的。正好，我前几天也注册过，也查一下吧。运行科来网络分析系统，我们还是来分析一把。下面的结果证实了我的不好的预感。

首先发现大量的ARP无请求应答，也就是我的主机在不断的主动应答，问题是没有请求的ARP应答。

[ 本帖最后由 天蓝 于 2006-8-24 21:41 编辑 ]

天蓝

查看节点流量，本机的IP是192.168.1.100，每秒2M位，也就是说速度是250KB/秒，这么快的速度，平时上网也很难达到呀。
其它可疑的值还有请求数，我已经关掉了上网应用程序，不应该还有这么多的请求，而且流量也有170M。

天蓝

再看一下偶比较喜欢用的矩阵功能，主机运行慢的问题已经是非常明显了，如果网络内还有其它机器，上网肯定会受到影响。

在这里，能明显看到有两条亮绿色的粗线，说明一直在连接，并且流量很大；

几乎所有的连接都是由 192.168.1.100 连接，发散型，很容易定位有问题的主机；

192.168.1.100 主机有大量的暗绿色连接，这些都是单向连接，如果不是被DDos攻击，就应该是自身在扫描或主动请求。

[ 本帖最后由 天蓝 于 2006-8-21 04:51 编辑 ]

天蓝

最后返回诊断视图，这里提供了发现到的所有网络问题，每个问题系统都有相应的解释，我帖出来，主要是给大家看一下，感染木马，造成的一个网络现象。

那到底中的是什么病毒呢，用常用的查找注册表的方法，开机看启动了什么进程，方法： 开始 > 运行 > regedit，打开注册表后，查找 run，发现可疑的应用程序：winsmd.exe

天蓝

怎么来判断这是不是病毒呢，在google上搜索一下，潮湿关键词：“winsmd.exe 病毒”。
下面是收集的解决办法：
机器症状：
    1.进程中多一个vktserv.exe的进程，可能也有winsmd.exe。
    2.C:\WINDOWS\system32下有winsmd.exe，vktserv.exe
    3.启动项中有winsmd.exe（msconfig)
    4.系统服务中多了个vktserv
建议解决办法：
    1.结束winsmd.exe，删除C:\WINDOWS\system32下winsmd.exe
    2.结束vktserv.exe，删除C:\WINDOWS\system32下vktserv.exe
    3.去掉启动项的勾
    4.停止vktserv服务。

[ 本帖最后由 天蓝 于 2006-8-21 05:12 编辑 ]

天蓝

除了winsmd.exe 木马之外，另外用同样的方法还查找到一个更难解决的木马，spoolsv.exe，如果中了，会启动：C:\WINDOWS\System32\spoolsv\spoolsv.exe -printer

下面是解决办法：

关于spoolsv.exe 病毒的解决方收藏此文

正常的spoolsv.exe 文件有57k，而病毒文件有44K，一般方法是删不掉的。以下是转贴方法。有些效果的。


首先进入安全模式，控制面板，打开添加或删除程序，卸载WinDirected 2.0。这个是罪魁祸首。删除 c:/windows/system32/spoolsv/文件夹
删除c:/windows/exploer.exe程序。（很像explorer.exe）
删除%System%\wmpdrm.dll
好了，以上是关键部分。

下面是从网上复制过来的比较有水平的方法。
下面是关于病毒的一些资料：
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录：
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe，有一个启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。
%System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%\1116\目录）和注册表信息（启动项、BHO）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件：
http: file://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序，安装以下文件：
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\（目录里4个dll文件）
%System%\wmpdrm.dll是一个BHO，%System%\msicn\ube.exe像是卸载程序。
另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件，比如：
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后，会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注：如果%System%\spoolsv\spoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”，对应命令是：
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”，对应命令是：
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录，从名字看像是存放临时缓存文件的。
BHO相关注册表信息：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}].
spoolsv.exe和windows的打印服务spoolsv.exe很类似，不要被它迷惑了，打印服务spoolsv.exe的目录是系统文件夹（以XP为例）system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe
根据病毒信息提供偶得查杀方法:
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116
2。开始菜单运行regedit打开注册表编辑器，找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项
3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除

[ 本帖最后由 天蓝 于 2006-8-21 05:13 编辑 ]

天蓝

昨天才对机器进行了整机杀毒，但还是没有发现这两个木马，出现了问题要想办法解决，好在我这台机器不是什么重要服务器，如果找不到解决办法，重装就麻烦了。

工程文件打包后有7M，不知道怎么上传上来共享给大家。

另外，有没有高手能针对这两个病毒做一下过滤器，造福大家

icefired

思路比较清晰，运用cola也比较熟练，sniffer找出中毒机器，google 分析病毒，这也是常用的方法，对很多朋友有借鉴意义，收入精华。

CCSP

思路非常清晰，看后很有感触！

偶最近家里面，也出现一个问题：

刚做的系统，但是偶尔会连不上网（ping 路由网关也是不通），但是重起后就可以上网，只是偶尔出现这中情况，网络连接是通的，但是没有数据，抓包也没看出有什么异常，还在寻找答案ing！！

ysj0769

值的学习一下谢谢共享

菜鸟人飞

非常不错，支持原创，支持加精！

菜青虫

继续来学习！！！！

加的好！

zmc837

这样的帖子太少了，支持原创

hwp

支持，说得太好，有学习的意义，不过有没有科来的教学？

changed

那个科龙网络分析系统软件上传上来,让大伙用用.

菜青虫

原帖由 changed 于 2006-8-23 10:10 发表
那个科龙网络分析系统软件上传上来,让大伙用用.

LZ是科来网络分析系统，论坛不是有免费技术交流版的链接吗？
http://www.csna.cn/forum.php?mod=viewthread&tid=612&extra=page%3D1。

fadu

我很激动，是因为每天都在进步！

haoqiang18

好帖子,顶一下!!!!

ghostorc

好贴，值得学习和深思!

天蓝

唉，现在ARP 木马病毒太多，我的笔记本上也发现有，还是用同样的方法找到，杀之~

scott_yq

好文章啊，，一定好好学学

yijiefeng

真是好东东，谢谢你哦！

xhfcs

要是能整个SNIFFER的教程出来就好了

yuwenguxin

.......................

hearo

本人强烈支持原创！！
楼主辛苦了！

天蓝

谢谢，大家的回帖是最好的支持

五年

天天学习一点儿,有一天我就是高手了

zzgpitt

看看了解一下，学习学习

59047518

楼主QQ多少，我想请你帮我分析下，掉线这个问题我头疼一个多月了,还么解决！

天蓝

2919464,加号时,请提供信息,谢谢~