内网有ip使用netbios-ssn ,ciffs.访问其他的主机，是否为恶意行为，请大家分析分析！

feiyang0101 · 发表于 2007-6-21 16:44:52

在镜像口抓的包。使用netbios-ssn ,ciffs协议建立的对话，总是有ipc$方面的内容。这种行为是用电脑中了蠕虫病毒还是黑客攻击呢？请高手分析分析.抓的包在附件中。

[ 本帖最后由 feiyang0101 于 2007-6-21 16:52 编辑 ]

xuefu · 发表于 2007-6-21 19:15:09

期待中，看哪位大侠能好好分析一下，我这菜鸟也好跟着学学。

sivalei · 发表于 2007-6-23 14:43:42

病毒的可能性比较大

我看了下
1、如果为正常的netbios传输，传输的数据也不会这么小，很可能是病毒
2、连接的地址为开启了共享的机器，而且分散，有116-27，43-93，116-61，93-14，36-93的各个IP间的访问，这样随机的访问很可能是局域网中病毒互相复制

我没细看里面的数据包，还请大家指正～

feiyang0101 · 发表于 2007-6-24 19:00:18

和我想的一样！

ysj0769 · 发表于 2007-6-24 22:45:35

下载来分析以下，看有什么结果

KIMICN · 发表于 2007-6-25 11:18:56

看看内网中被访问IPC$的机器有没有开共享，且共享的文件夹有没有被映射到其他机器上。在机器上映射其他机器的共享文件夹时也会有这种现象

内网有ip使用netbios-ssn ,ciffs.访问其他的主机，是否为恶意行为，请大家分析分析！

本帖子中包含更多资源