今天一大早用科来就发现单位局域网有两台电脑在不断的ARP扫描和ARP攻击,由于科来我只布置在自己用的主机上,只能抓一些广播,所以我先用发包工具,对两台电脑进行ARP欺骗,从而截获其数据包,发现两台机主对c类网络地址进行遍历扫描,数据截获只维持了10多秒就被中断了,估计被修复了ARP表,由于我在单位刚工作不久,不知道各部门电话,所以通过截获的数据包得知电脑主人的QQ号,然后,编个美丽的谎言,让对方加了我的QQ,然后俺就通知她拨掉网线(或许也可以用ARP攻击进行断网处理),随后我就装备了工具直奔那个部门,我刚到,她就说正要找我,说电脑估计中毒了,有的程序不能运行了,得知可能是中了尼姆亚病毒了.由于尼姆亚病毒会防止你使用任务管理器/REGEDIT等工具,而且反病毒软件也随之失效,大多数可执行文件被修改(其他被修改的可执行文件很容易被确认出来,他的图标比以前的模糊,像素很低),看来我的移动硬盘是没有用了,我再次连上网,进入瑞星网站,下载了一个专杀工具,进行查杀,随后就是一大堆的病毒,我查杀了两遍,都杀出毒来,然后下载卡卡,安装好后清除掉尼姆亚病毒下载的恶意软件,清除IE插件,然后免疫(虽然这个功能没有多大用处),再修复,然后杀掉可疑进程,再除掉启动栏里的可疑启动项.再手动清除WINDOWS\及system32\下面的病毒文件,清除Documents and Settings各用户下面的临时文件.再全盘搜索*.ini文件,然后删除DESKTOP字样的配置文件,都是1KB大小!最后修复瑞星,然后用瑞星再杀一次!还有,如果电脑上存有网页的话,它也会修复网页里的代码,如果网站中此毒,浏览它的用户就遭秧了!
由于ARP攻击的数据包网站上已经发了很多了,我也就省下了,哈哈! |
发表于 2007-1-16 16:29:21
发表于 2007-1-17 16:19:19
传说中的也叫熊猫烧香
偶公司昨天就是中了这鸟病毒,熊猫烧香,很恐怖,局域网传播之强很少见!在这个威金病毒变种之前也中过一次,那次很简单地处理了,但这次还真花了偶一点时间,用科来反复抓包两个小时后彻底找出中毒电脑机子----中了7台了!然后杀毒后今天早上再抓包就没有发现此病毒存在了。