网吧传奇杀手病毒

网吧传奇杀手病毒预防方案(网吧集体掉线问题之解决方案之一)

网吧传奇杀手病毒预防方案
  “网吧传奇杀手”木马病毒的出现,网吧行业无疑又经历了一次严重的打击和技术挑战。最近几个月来,很多网吧开始出现同一类似的网络故障,网吧正常营业时突然掉线,经过短暂的网络中断后网络自动恢复正常。此后,便有传奇、传奇世界的玩家开始大嚷,自己的帐号和密码被盗了。
  
  以上症状,便是“网吧传奇杀手”木马病毒发作的典型特征。当此病毒在网吧发作后,许多网吧技术人员束手无策。因此,很多网管和网吧老板们,给盛大网络又加上一条罪名,为了推销盛大密保,故意开发此木马程序。聪明的网吧维护人员会发现,“网吧传奇杀手”木马病毒对传奇私服,一样有效。当我们用安装了最新病毒库的杀毒软件检查机器时,却检测不到网络中的机器有病毒。“网吧传奇杀手”病毒,到底是如何工作的呢?

  一、“网吧传奇杀手”病毒简介及工作过程

  1、“网吧传奇杀手“木马病毒简介

  “网吧传奇杀手”病毒是瑞星全球反病毒监测网,在2004年7月14日截获一个专门窃取“传奇”游戏密码的恶性木马病毒,并命名为“网吧传奇杀手(Trojan.PSW.LMir.qh)”。“网吧传奇杀手”病毒破解了《传奇2》的加密解密算法,通过截取局域网中的数据包,然后分析《传奇》游戏通讯协议的方法截获用户的信息。在局域网中运行这个病毒后,就可以获得整个局域网中传奇玩家的帐户和密码等信息。

  2、“网吧传奇杀手“木马病毒工作过程

  “网吧传奇杀手”木马病毒的工作原理,其实是对局域网中的机器进行Arp欺骗,虚拟网吧内部的网关地址,以此来收集局域网中传奇游戏登录信息,通过解析《传奇2》加密方式从而得到用户信息的破坏性软件。该软件只要在网吧的任何一台客户机上安装并且运行,就可以获取整个网吧内所有的传奇游戏登录信息。

  “网吧传奇杀手”病毒工作时,首先在将安装有“网吧传奇杀手”机器的网卡MAC地址通过Arp欺骗广播至整个局域网,使局域网中的工作站误认为安装“网吧传奇杀手”的机器是该局域网的网关。由于局域网中的所有信息,都必须通过网关来中转,当网吧有此病毒在运行时,所有的传奇玩家信息便绕过了真正的网关,传输到安装有“网吧传奇杀手”的机器中。当病毒程序搜集到局域网中的相关信息后,通过解密《传奇2》的游戏通讯协议,可以获得所有传奇游戏玩家的帐户名称和密码。这样,“网吧传奇杀手”木马病毒可以轻松盗取传奇玩家的帐户信息。

  3、“网吧传奇杀手”木马病毒发作特征

  ①网络连接短暂中断

  当“网吧传奇杀手”病毒发作时,网吧所有的机器由于失去了真正的网关地址,网络连接会出现短暂中断,当病毒搜集《传奇2》玩家信息操作完成后,网络便恢复正常。网络中断时间,一般会在30秒到几分钟之间,持续时间不会太长。

  ②网络中出现相同的MAC地址

  病毒发作时,我们使用IPbook超级网上邻居、网吧过滤王实名制管理软件等网络管理软件查看网络时,会发现局域网中存在着相同的MAC地址。如果有多台机器安装了“网吧传奇杀手”木马病毒,局域网中则会出现不同的IP地址中却存在相同的MAC地址。

  二、定位安装“网吧传奇杀手”木马病毒的机器

  目前,杀毒软件既使升级了病毒库,也无法查杀“网吧传奇杀手”病毒。我们只有充分了解“网吧传奇杀手”病毒的工作原理,才能手动查找运行此病毒的机器。由于此病毒是利用Arp对局域网中的机器进行网关欺骗时会有相同的MAC地址产生,我们可以根据这一特征查找。

  网络执法官是一款网管软件,可用于管理局域网,能禁止局域网任意机器连接网络。在网络执法官禁止机器上网这一功能,也是利用了Arp欺骗,在网络中广播一个虚假的网关IP地址和与其对应的MAC地址,使一部分机器找不到真正的网关以限制部分机器连接网络。这一工作原理,与“网吧传奇杀手”的工作原理是相同的。

  当网络执法官工作执行限制机器网络连接操作时,安装网络执法官软件的机器是处在网络混杂模式的。如果在同一个局域网中有多台机器安装了此软件,那么从任何一台安装有网络执法官软件的机器中,都可以看到凡是安装网络执法官软件的机器,都处在网络混杂模式。同样的道理,当“网吧传奇杀手”工作时,该机器也是处于网络混杂模式的,利用网络执法官可以轻松发现感染“网吧传奇杀手”病毒的机器。

  同样,我们也可以利用Arp命令查找安装“网吧传奇杀手”的机器。在网络中任意一台机器中,执行Arp –a命令,这样在反馈信息中会得到一重复的MAC地址,此地址即为安装有“网吧传奇杀手”的机器。借助Sniffer、Ipbook超级网上邻居、过滤王实名制管理软件等网络管理软件,对比MAC地址来查找到此机器。

  查找到安装了“网吧传奇杀手”的机器后,直接将此程序结束掉,网络就会恢复正常。为了安全,建议将代理服务器或者路由器重新启动。

  三、“网吧传奇杀手”病毒的预防

  1、客户机绑定网关地址及其MAC地址

  首先,获得出口代理服务器的内网网卡地址和IP地址。(例如网关地址为192.168.1.254,其设备的MAC地址为00-05-b7-00-29-29)。然后编写一个Kill.bat的批处理,内容如下:
@echo off
arp –d
arp -s 192.168.1.254 00-05-b7-00-29-29

  注意,最后一行中,请根据自己网吧的实际情况,将网关的IP地址和MAC地址替换一下。然后将Kill.bat文件,加载到操作系统的启动中就可以了。

  2、利用网络设备预防“网吧传奇杀手”病毒

  使用具有IP-MAC绑定功能的智能交换机,将网关的IP地址和MAC地址进行绑定,以此来预防“网吧传奇杀手”病毒。

  “网吧传奇杀手”木马病毒,现在最新的版本,已经破译了《传奇世界》游戏的加密方式。目前虽然经过网络硬件厂商和网游运营商的共同努力,暂时抵制了该病毒的发作和传播。根据目前的形势,网吧行业不能对类似的病毒掉以轻心。杀毒软件并不是万能的,我们要根据网吧出现的故障,尽快找出故障原因,预防各类病毒木马的入侵。

阅读更多
个人分类: network
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭