標題:
Lsass 木馬
[打印本頁]
作者:
admin
時間:
2009-11-16 22:37
標題:
Lsass 木馬
近日宿網及校網流行一種 Usb 隨身碟木馬病毒,中毒者會擴及本機所有硬碟磁區,開啟autorun.inf,會汙染該網段所有電腦的ARP table,將所有client 瀏覽的網頁封包透過中毒者的機器出去,意在增加網路廣告瀏覽率以獲利。
LSASS 中毒 會假冒gateway 攔截對外網頁瀏覽的封包,將網頁導向廣告色情站,同一區 subdomain 內的其他電腦會發生,對外的網頁連結 會亂跑,出現色情網站
中毒者會出現的現象
命令提示字元下執行「dir /a」,顯示 C 槽、 D 槽或任何攜帶型儲存設備的根目錄下隱藏檔會出現的檔案
1.「ntdeIet」型--大部分防毒軟體可以偵測的到
有毒的檔案為
auto.exe
、
autorun.inf
、
ntdeIect.com
2.「pagefile」型--截至 2007/12/20 為止,目前防毒軟體還偵測不到
有毒的檔案為
autorun.inf
、
pagefile.pif
pagefile.pif 檔有幾個特徵:
(1)檔案大小是 102400bytes 或 106496bytes,其中 102400bytes 是比較舊的病毒。 (2)檔案大小雖然都是 106496bytes,但 MD5 值仍有差異:
Type01:102400bytes MD5為
6d8280c2b3a8265efe330a50c7db8312
Type02:106496bytes MD5為
9f379c72192284ae6f94a5c7eb7f7891
Type03:106496bytes MD5為
d9224094e962f66f0822b20439ca12dd
ARP TABLE 表異常--中毒的電腦會學習整個網段的 ARP Table,以下是執行「arp -a」的結果
mrtg流量圖異常--中毒者的 Inbound 與 Outbound 量"幾乎"一致
中毒電腦的網路攻擊行為
1.第一步:進行 Arp 廣播,學習與記憶所處網段的 Arp Table 表 2.第二步:對其他電腦進行 arp 攻擊,改掉 Default Gateway 卡號為自己的卡號(即圖中 packet
No.250451
)
[img=1014,439]http://wiki.cc.ncu.edu.tw/mediawiki/images/2/24/Virus_packet.jpg[/img]
解決方法 : 網路管理者從 router 查詢 arp table 查得實際中毒者,隔離 Router#sh arp | inc 0000.1cd2.5fb2 (0000.1cd2.5fb2 中毒host的mac address) 顯示的畫面:::
清除mac address的指令 Router#clear arp 使用者
建議的標準步驟
Image:Usb virus.pdf
停用 autorun 的方式(個人版請參考方案二)
Image:Setup.pdf
關掉自動播放(autoplay)的功能
(1)進控制台,點選「系統管理工具」
(2)點選「服務」
(3)找出「Shell Hardware Detection」,並點兩下
(4)將啟動類型改成「已停用」,服務狀態則點選「停止」,然後按下「套用」,「確定」之後離開
(5)注意事項:
若光碟機內已經置入會 autorun 的光碟片時,電腦重開機後有可能還是會自動執行
停用 autoplay,不代表 autorun 也一併停用
。
重灌系統,但是要注意是否隨身碟以及 D 槽也都己經中毒(通常都有, 不是只有C 碟)
歡迎光臨 頭彩論壇 (http://r560421.freebbs.tw/)
Powered by Discuz! 5.0.0
清除mac address的指令 Router#clear arp 使用者
(2)點選「服務」 
(3)找出「Shell Hardware Detection」,並點兩下 
(4)將啟動類型改成「已停用」,服務狀態則點選「停止」,然後按下「套用」,「確定」之後離開 
(5)注意事項: