ARP病毒可能的表现形式 进程 端口 及解决方法（个人看法）

原文地址：http://3layer.blog.51cto.com/57448/9653

 

先说可能的解决办法。后面的以后再说。
到[url]www.360safe.com[/url]下载目前最新版的360安全卫士。不过这个软件可能跟雅虎助手有不兼容现象。原因了解互联网两家公司的都明白他们的恩怨。这是一款免费软件。如果你使用他的杀毒功能。比如symantc那部分还是要注册的。我们不用那部分。我使用的是绿色版。也就是不用安装的。网站下载的是需要安装的。界面是相同的。更新到最新病毒库后。选择查杀－－查杀恶意软件。会列出计算机上安装的恶意软件。清理一下。重启。建议在安全模式下查杀。

一般中毒用户的里面会有一个叫u1.sky99.cn的恶意插件。这是一个木马程序。威胁级别高。(不排除变种叫别的名字）把他杀了。其他的如果有也都杀了。恶意插件也不是好东西。

希望能够碰见的人可以测试一下。我都是在xp系统上做的。对2000跟2003没有太多尝试。大家看看行不行吧。我接触到的都是这样。

如果想知道杀没杀掉。有一个可能的方法。一般中毒用户中毒时在CMD窗口下输入字母的速度很慢。输一个字符一般有1到2秒的延时。杀完毒的不会。变快了很多。这可能是因为病毒是利用CPU的处理功能来制造大量假包。而CMD的命令处理也主要依靠CPU的原因。

目前我得案例大部分成功。但是用户重启后可能会有报错的情况.多是一些木马插件的残留文件。最好在安全模式下。清干净就不报错了。有一些用户用别的杀毒软件杀完也会这样。

不过我们不能承诺用户在360杀毒重启后系统能够正常。毕竟杀毒要删文件。但是比重做系统要好很多。而且360不要钱。文件很小。杀起来也很快。实在不行的还需要重做系统才可以。

先说下360这个软件。他是由奇虎出品的。老总是周鸿??。最早的3721这个软件就是他创办的。后来被雅虎收购。3721就改名叫了雅虎助手。因为与高层不合。最后离开了雅虎。自己创办了360安全卫士。其实大家都知道3721本来就是个著名的流氓软件。（很著名很著名）现在写流氓软件的人跑出来写安全软件安全软件。那自然是厉害的很。所以前段时间雅虎中国的现任总裁田健就公然在媒体指责周鸿??忘恩负义。弄的雅虎的老总杨致远跟马云都绞了进去。呵呵。真是热闹的很。

360有这样的技术后台。杀起恶意插件来。那该是厉害的很。呵呵

说说病毒的端口。其实真的说来。这个软件应该没有端口。因为端口是四层网络层上的接口。可是这个病毒做为ARP病毒。他是3层的。也就是说他的影响可以不要端口。有端口的应该是变种。开设端口的目的是为了传播病毒。一般中毒的机子在开机后会扫整个网段的在线IP。并且企图连接80。139。445端口。其中139。445是病毒常攻击的端口。等扫完整个网段后。病毒机器的arp表里还会有了一张完整的IP与MAC对应关系。后面好像他们就不怎么扫端口了。可以在开机后CMD后。不停的netstat-an。就可以看出来他们在不停的扫。我在vmware中虚拟了一台中病毒的机子。开机后用sniffer这个著名的嗅探器嗅探。看到了如下结果。
可以看出源端口号在变。目的端口一直为80。139。445。并企图建立连接。

因为在vmware中。一直没有真的连在外面网上。病毒认为我这个网没可以利用得主机。所以后面也不扫端口了。直接IP了。但是在里面一直出现WINS中一直出现2个名字BD.JACAI.COMWMSJSF.COM其中WMSJSF.COM显示错误403。可是BD.JACAI.COM确跳转到了[url]www.4199.com[/url]。这正是中毒主机的主页。你无法修改主页。只有杀完病毒后在安全模式下将c:\windows\rsrc.dll删除才可以。也许这就是病毒得商业价值。点击率。aleax排名。风险投资或是收购。上市。。信息时代的英才。（不是说有的都有 [url]www.4199.com[/url]这种现象）

   说完端口说进程。现这个进程表里看上去很正常。其实里面确有2个是病毒的进程。一个是rundl1.exe一个是svhost。这是在靠你的眼里rundl1.exe最后一个不是L是1。而svhost伪造的是svchost。一般来说svchost都是系统服务。他是不会以用户的名义启动的。比如下图中他以test启动的进程。这明显是假的。而rundl1.exe仔细看是能看出来l与1的区别的。还有可能用户利用EXPL0RER.EXE其中O并不是字母而是数字0。我在用户那里看见最多的是rundl1.exe还有就是

用processexplorer就可以看的更清楚。彩色不是我后加的。这个系统会自动显示出来。这个进程没有描述没有公司名。呵呵。（不过FBnclient.exe可不是病毒。）这个软件更可以看出系统调用的一些文件。（rsrc.dll就是用它查出来的。杀了就可以改主页了。）我在中毒用户电脑上用这个软件右键关闭这些进程。在平台上链用户。用户的IP就固定回了原来自己的IP了。可见系统的确是在用这几个进程工作着。

 

讲完了端口进程倒过来最后讲表现方式。我见的都表现出来的就是在CMD窗口下输入字符很慢。杀完就不慢了。再有就是任务管理器，启动选项上面都有图了。在就是用户的一些文件。比如下图。正如360说的这种病毒是可以自动变形的。所以文件名可能不是这些。但是他们一般名字中都有数字。而且从0开始依次下去。也许到3也许5到最多到9。图标更是多种多样。有MS-DOS。有文本。有安装程序。但是看他们的属性都是应用程序。而且都是几KB到十几KB不等。

有些用户还会出现下图。一般这种情况都是用户已经用杀毒软件杀过毒的。启动的一些主程序杀掉了。所以可能在调用时就报错。不过没关系。在杀完毒后在安全模式下。按照提示错误标题栏上的路径找到文件并删除。就不会再出现这些烦人的窗口了。！！最好在安全模式下用360跟删文件。

最后一种现象没有图。是我在用户家里看见一个用户的启动项里有c:\windows\system32\svohost.exe跟在任务管理器里都也看见了svohost这个进程。可就在指定目录下看不见这个文件。调成显示隐藏文件也没有。我以为文件已经杀掉了。可是用户还是无法恢复正常。最后让用户重做了系统。回来找资料才知道。病毒可以修改注册表。使显示隐藏文件失效。引用：解决方法很简单~只要修改注册表让隐藏文件显示就删掉就可以了~`打开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL这个键.看右边.找到一个CheckedValue的值.这个恶心的病毒居然把他改成了字符串值.你改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.就行了~。当时用户还有EXPLORER.EXE看上去很可以但是关不掉。后来分析这个可能也是病毒进程。不过就碰见一次。目前再没碰见过。所以解决办法只是来自网上的资料。这种病毒应该是更高级的变种。当时还是采用删文件的方式来清除病毒。并没有使用360这个软件。最后只是让用户装了系统。

还有我见过最狠的用户。我去杀过2次可是还是不见效。（一次用360杀了u1.sky99.cn）一个人影响多个人。MAC在几个用户IP上出现。可是在平台上他的IP不变。始终显示为一个固定的IP。但这个IP也不是他的IP。可他就是影响很多人。因为用户机器太老。系统也太烂。我不知道是没杀掉。还是又中了。最后再上门用户主动说自己做系统吧。也就没再研究。感觉用户是不是中毒太深。但愿不是新的变种。所以360也不能都保证。不行还得做系统。