×
Banner Image

教职工通知

=




中木马电脑(520)的情况记录
——导致多台电脑无法上网的ARP病毒源分析
2008-1-10
胡学军
今天找到一台ARP病毒攻击母机,记录分析其情况:
 
运行arp –a 可发现大量的192.168.88.* 网卡地址被静态绑定。
本机安装了瑞星和卡巴斯基安全套装(更新过期),实际没有起到防木马作用。
360安全卫士查杀发现103个木马,几乎所有的各种盗号木马等病毒样样齐全。
而本机内存配置是256M,上网和运行速度基本正常。
由于这台电脑安装了如此多的木马,其他所有相同网关的电脑均无法正常上网,尤其是没有安装了360安全卫士ARP防火墙的电脑更加动不动就无法上网,运行arp –。可以发现错误的网关地址,显示的是520室电脑的网卡地址。
本机系统漏洞23个,说明本身很容易被木马侵入。
电脑没有安装360安全卫士。
解决:将此台电脑IP取消后,并运行360安全卫士查杀木马,重新启动,运行arp –d 清除ARP列表,过一会运行arp –a 查看只有网关地址显示。
 
总结:
      只要局域网内有一台电脑有盗号木马插件存在,大家上网动不动就会断掉。
      防范ARP病毒措施:人人有责,每台电脑必须安装360安全卫士(http://www.360safe.com),并开启所有保护功能。 没有安装并清理木马的电脑不容许上网。并将系统漏洞补丁打齐全,本校电脑可以下载自动更新服务安装程序.
      绑定每台上网电脑的网卡地址安装360安全卫士ARP放火墙并开启。及时发现攻击者并上报网管查找ARP病毒源。
 
病毒源电脑情况屏幕截图分析,详细图片内容下载(winrar解压缩):uploadfiles/2008-1/110190853.rar 
  • 发布时间:
  • 2008-02-20 16:45:31 来源:http://sky.scnu.edu.cn/content.asp?c=11&m=2&n=82&j=&todo=showinfo 点击: 收藏本文
  • 标签:#生科院