現(xiàn)在頻繁掉線的網(wǎng)吧很多.但為何掉線.許多網(wǎng)管朋友.不是很清楚.網(wǎng)吧掉線的原因很多.現(xiàn)在我給大家講一下現(xiàn)在很流行的一種木馬.<傳奇網(wǎng)吧殺手>.基本上東北地區(qū)的網(wǎng)吧都被這一木馬弄的身心疲憊.但是現(xiàn)在有解決的方法了.
中病毒特征: 網(wǎng)吧不定時(shí)的掉線.(重啟路由后正常),網(wǎng)吧局域網(wǎng)內(nèi)有個(gè)別機(jī)器掉線.
木馬分析 : 傳奇殺手木馬,是通過ARP欺騙,來或取局域網(wǎng)內(nèi)發(fā)往外網(wǎng)的數(shù)據(jù).從而截獲局域內(nèi)一些網(wǎng)游的用戶名和密碼.
木馬解析:中木馬的機(jī)器能虛擬出一個(gè)路由器的MAC地址和路由器的IP.當(dāng)病毒發(fā)作時(shí),局域網(wǎng)內(nèi)就會多出一個(gè)路由器的MAC地址.內(nèi)網(wǎng)在發(fā)往外網(wǎng)的數(shù)據(jù)時(shí),誤認(rèn)為中木馬的機(jī)器是路由器,從而把這些數(shù)據(jù)發(fā)給了虛擬的路由器.真正路由器的MAC地址被占用.內(nèi)網(wǎng)的數(shù)據(jù)發(fā)出不去.所以就掉線了.
解決辦法:守先你下載一個(gè)網(wǎng)絡(luò)執(zhí)法官,他可以監(jiān)控局域網(wǎng)內(nèi)所有機(jī)器的MAC地址和局域網(wǎng)內(nèi)的IP地址.在設(shè)置網(wǎng)絡(luò)執(zhí)法官時(shí).你必須將網(wǎng)絡(luò)執(zhí)法官的IP段設(shè)置和你內(nèi)網(wǎng)的IP段一樣.比如說:你的內(nèi)網(wǎng)IP是192.168.1.1------192.168.1.254你的設(shè)置時(shí)也要設(shè)置192.168.1.1------192.168.1.254.設(shè)置完后,你就會看到你的內(nèi)網(wǎng)中的MAC地址和IP地址.從而可以看出哪臺機(jī)器中了木馬.(在多出的路由器MAC地址和IP地址和內(nèi)網(wǎng)機(jī)器的IP地址,MAC地址一樣的說明中了傳奇網(wǎng)吧殺手)要是不知道路由器的MAC地址,在路由器的設(shè)置界面可以看到.發(fā)現(xiàn)木馬后.你還要下載瑞星2006最新版的殺病毒軟件(3月15日之后的病毒庫).在下載完之后必須在安全模式下查殺(這是瑞星反病毒專家的見意)反復(fù)查殺(一般在四次就可以了)注意查完后殺病毒軟件不要卸載掉.觀查幾天(這是我個(gè)人的經(jīng)驗(yàn).在卸后第三天病毒還會死灰復(fù)燃,我想可能是注冊表里還有他的隱藏文件.在觀查幾天后正常就可以卸載掉了.
注:還原精靈和冰點(diǎn)對網(wǎng)吧傳奇殺手木馬不起做用.(傳奇殺手木馬不會感染局域網(wǎng).不要用硬盤對克,對克跟本不起任何做用.而且還會感染到母盤上.切記!)
最好主機(jī)安裝上網(wǎng)絡(luò)執(zhí)法官,這樣可以時(shí)時(shí)監(jiān)控局域網(wǎng)內(nèi)的動態(tài),發(fā)現(xiàn)木馬后可以及時(shí)做出對策)
下面是傳奇網(wǎng)吧殺手木馬的文件:
文件名: 文件路徑: 病毒名:
a.exe>>b.exe c:windowssystem32 Trojan.psw.lmir.jbg
235780.dll c:windows Trojan.psw.lmir.aji
kb2357801.log c:windows Trojan.psw.lmir.jhe
Q98882.log c:windows Trojan.psw.lmir.jhe
kb2357802.log c:windows Trojan.psw.lmir.jbg
Q90979.log c:windows Trojan.psw.lmir.jhe
Q99418.log c:windows Trojan.psw.lmir.jbg
ZT.exe c:windowsprogram Files浩方對戰(zhàn)平臺 病毒名:Trojan.dL.agent.eqv
a[1].exe>>b.exec:documents and sttingssicentlocal settingsTemporary Internet Filescontent.IE5Q5g5g3uj
病毒名:Trojan.psw.lmir.jbg
(各位朋友.瑞星殺毒軟件文件過大郵箱發(fā)送不了.請大家下載瑞星個(gè)人18.18.20版殺毒軟件我現(xiàn)在給大家提供注冊碼.希望大家原諒.)
SN=P5V6EH-61FHJK-9G0SS7-C4D200
ID=5B3C5BJ4Y125
(網(wǎng)絡(luò)執(zhí)法官可以批量MAC捆綁,到執(zhí)法官的局域網(wǎng)MAC界面,全選后單擊右鍵會出現(xiàn)批量MAC捆綁.做完捆綁以后,ARP要是在次攻擊時(shí)他會報(bào)警,出現(xiàn)的假M(fèi)AC是為非法.網(wǎng)絡(luò)執(zhí)法官會終止他的一切操作.)這樣可以解決ARP在次攻擊.
本文出自 51CTO.COM技術(shù)博客
