近日公司频繁出现一种ARP欺骗攻击,造成大批计算机瘫痪,公司内部网络瘫痪。
最早的现象,就是部门内普遍网速奇慢,并且不时出现IP地址冲突的提示。在机房内发现,部门交换机CPU占用率为100%。如果在防火墙上查看攻击日志,就会发现有大量不同IP地址使用同一个MAC地址。
咱就是搞交换机的,在自己家里、自己的交换机上出现这种严重问题,怎能放过?部门的老大们齐聚机房,奋战一个上午,终于查清,是一种新的ARP欺骗病毒在作怪。由于我没有参与故障的处理过程,所以只将公司提供的解决方案给出来,供大家参考。不幸的是,我自己的机器没有感染此病毒,也没有截图,所以我只好拿我没有感染的计算机演示一下处理过程。但是我想整个操作过程是很简单的,有类似症状的朋友可以尝试解决一下。
这种病毒的名称为W32.Almanahe.sys,在Symantec网站可以查到Almanahe是一个蠕虫家族,有许多变种,而且比较新。根据技术描述,这是一种低风险的病毒,然而我们所遇到的,却是一种高风险、难清除的变种。计算机被病毒感染以后,就在计算机上安装一个被称为“Arp8023”的服务,并且将一个dll插入系统的Explorer.exe进程。插入Explorer以后,只要一登录进Windows,病毒就会被执行;病毒没有明显的可执行文件,也并不需要在注册表中设置自动运行;即便是用扫描工具运行扫描,高度伪装的两个dll文件也极难被发现,所以查杀起来非常困难。
首先,要将病毒所注册的服务中止。这个服务似乎在服务列表中不可见,需要在设备管理器中清除。在“我的电脑”图标上点击右键,依次选择“管理-设备管理器-查看-显示隐藏的设备”,然后,在右侧的计算机设备树中打开“非即插即用驱动程序”,在这里可以看到一个叫做“Arp8023”的设备。在其图标上点击右键,选择“卸载”,将其卸载。
然后,重新启动计算机,进入Windows\System32\drivers\目录(如果你看不到这个目录,就需要依次打开“我的电脑-工具-文件夹选项-查看高级选项”,清除选项“隐藏受保护的操作系统文件”和选中“显示所有文件和文件夹”),这时我们能看到一个arp8023.sys的文件,删除它。
其次,我们需要清除寄生在explorer进程中的病毒动态链接库。首先要结束explorer进程,只能通过Ctr-Alt-del打开任务管理器,然后选择“进程”选项卡,在进程列表中找到“explorer.exe”,在其上点击右键,选择“结束进程”。这时我们就会发现我们的桌面不见了,不要紧,我们还有命令行可以操作。
共2页: 上一页 1 [2] 下一页
