对于局域网内弹病毒网页的一些分析

wuliang520 · 发表于 2007-8-30 21:11:39

局域网内运行带网页连接的游戏会弹出movie.yl0708.cn/mov.htm~
典型的两个就是魔兽世界和梦幻西游~

今天终于在论坛朋友qzyuanmu的耐心帮助下成功用科来将数据包捕获~
在此先对这个朋友的帮助表示感谢~

对数据包仍然有疑问~恳请各位朋友的帮助~

我杀毒软件查杀均未提示有毒~

不知病毒网页是以何种方式将代码插入网页~

[ 本帖最后由 wuliang520 于 2007-8-30 21:14 编辑 ]

菜鸟人飞 · 发表于 2007-8-31 09:26:34

楼主对数据包的疑问是什么？

wuliang520 · 发表于 2007-8-31 09:33:42

这个是叫回话劫持吧？
如何判断是内网的病毒影响还是外网的？
我运行的是游戏~比如魔兽世界和梦幻国度~
病毒网页是如何被启动的？

xwy3260 · 发表于 2007-8-31 10:21:16

请楼主参照菜版的帖子
http://www.csna.cn/forum.php?mod=viewthread&tid=68
此帖说得很明白了

qzyuanmu · 发表于 2007-8-31 10:23:12

楼主的可疑通信为  20：7：25 进行抓包和上网的，于20：07：57和恶意网站通信
      可信任通信为  其他一切通信，如访问梦幻的，魔兽的，ICMP的
开始，机器先和 192.168.0.252 交换数据，
在和恶意网站通信之前，对客户机写入 \netgame\梦幻国度
                                                   \ nategame/魔兽世界
                                                      \记录文件.ini
                                                   \\GAMES\GAMES
                                                      \\GAMES\UPDATE$
根据恶意行为发生的情况可以了解到
1，恶意行为的发生，由其他主机引发，或造成发生条件
2，恶意行为为本机原因，

根据以上两点和楼主主机的通信情况可以做一下方法解决：
1，检查游戏服务器（252）机器的行为，和覆盖的文件内容，建议楼主可以用下面的客户机浏览网页，不要运行游戏，就是不和252 通信，看情况是否发生，如果发生，那肯定的是，恶意行为为本机造成，请对本机进行杀毒处理。
2，杀毒处理。根据科来软件的抓包情况可以看出，楼主的机器 113号只和252号交换过数据（ICMP的不算），其间并没ARP等欺骗行为，如果楼主可以排除252的行为就可以了，重做母盘，安装系统和软件等，希望可以做好规范，防止再度感染

[ 本帖最后由 qzyuanmu 于 2007-8-31 10:28 编辑 ]

qzyuanmu · 发表于 2007-8-31 10:35:14

另外楼主的机器访问恶意网站的时候，是主动请求DNS服务的如图 1可以看出，
其实我还是认为是本身客户机的问题比较大

wuliang520 · 发表于 2007-8-31 11:03:18

谢谢楼上两位兄弟的解答~
待我找到真正原因之后发上结果~

wuliang520 · 发表于 2007-8-31 11:16:39

顺便请问这种情况会不会影响到内网的其他机器？

对于局域网内弹病毒网页的一些分析

评分