ARP病毒可能的表现形式 进程 端口 及解决方法（个人看法）

先说可能的解决办法。后面的以后再说。
到[url]www.360safe.com[/url]下载目前最新版的360安全卫士。不过这个软件可能跟雅虎助手有不兼容现象。原因了解互联网两家公司的都明白他们的恩怨。这是一款免费软件。如果你使用他的杀毒功能。比如symantc那部分还是要注册的。我们不用那部分。我使用的是绿色版。也就是不用安装的。网站下载的是需要安装的。界面是相同的。更新到最新病毒库后。选择查杀－－查杀恶意软件。会列出计算机上安装的恶意软件。清理一下。重启。建议在安全模式下查杀。

一般中毒用户的里面会有一个叫u1.sky99.cn的恶意插件。这是一个木马程序。威胁级别高。(不排除变种叫别的名字）把他杀了。其他的如果有也都杀了。恶意插件也不是好东西。

希望能够碰见的人可以测试一下。我都是在xp系统上做的。对2000跟2003没有太多尝试。大家看看行不行吧。我接触到的都是这样。

如果想知道杀没杀掉。有一个可能的方法。一般中毒用户中毒时在CMD窗口下输入字母的速度很慢。输一个字符一般有1到2秒的延时。杀完毒的不会。变快了很多。这可能是因为病毒是利用CPU的处理功能来制造大量假包。而CMD的命令处理也主要依靠CPU的原因。

目前我得案例大部分成功。但是用户重启后可能会有报错的情况.多是一些木马插件的残留文件。最好在安全模式下。清干净就不报错了。有一些用户用别的杀毒软件杀完也会这样。

不过我们不能承诺用户在360杀毒重启后系统能够正常。毕竟杀毒要删文件。但是比重做系统要好很多。而且360不要钱。文件很小。杀起来也很快。实在不行的还需要重做系统才可以。

 

先说下360这个软件。他是由奇虎出品的。老总是周鸿??。最早的3721这个软件就是他创办的。后来被雅虎收购。3721就改名叫了雅虎助手。因为与高层不合。最后离开了雅虎。自己创办了360安全卫士。其实大家都知道3721本来就是个著名的流氓软件。（很著名很著名）现在写流氓软件的人跑出来写安全软件安全软件。那自然是厉害的很。所以前段时间雅虎中国的现任总裁田健就公然在媒体指责周鸿??忘恩负义。弄的雅虎的老总杨致远跟马云都绞了进去。呵呵。真是热闹的很。

360有这样的技术后台。杀起恶意插件来。那该是厉害的很。呵呵

 

 

说说病毒的端口。其实真的说来。这个软件应该没有端口。因为端口是四层网络层上的接口。可是这个病毒做为ARP病毒。他是3层的。也就是说他的影响可以不要端口。有端口的应该是变种。开设端口的目的是为了传播病毒。一般中毒的机子在开机后会扫整个网段的在线IP。并且企图连接80。139。445端口。其中139。445是病毒常攻击的端口。等扫完整个网段后。病毒机器的arp表里还会有了一张完整的IP与MAC对应关系。后面好像他们就不怎么扫端口了。可以在开机后CMD后。不停的netstat-an。就可以看出来他们在不停的扫。我在vmware中虚拟了一台中病毒的机子。开机后用sniffer这个著名的嗅探器嗅探。看到了如下结果。
可以看出源端口号在变。目的端口一直为80。139。445。并企图建立连接。

 

 

 

因为在vmware中。一直没有真的连在外面网上。病毒认为我这个网没可以利用得主机。所以后面也不扫端口了。直接IP了。但是在里面一直出现WINS中一直出现2个名字BD.JACAI.COMWMSJSF.COM其中WMSJSF.COM显示错误403。可是BD.JACAI.COM确跳转到了[url]www.4199.com[/url]。这正是中毒主机的主页。你无法修改主页。只有杀完病毒后在安全模式下将c:\windows\rsrc.dll删除才可以。也许这就是病毒得商业价值。点击率。aleax排名。风险投资或是收购。上市。。信息时代的英才。（不是说有的都有 [url]www.4199.com[/url]这种现象）

 

   说完端口说进程。现这个进程表里看上去很正常。其实里面确有2个是病毒的进程。一个是rundl1.exe一个是svhost。这是在靠你的眼里rundl1.exe最后一个不是L是1。而svhost伪造的是svchost。一般来说svchost都是系统服务。他是不会以用户的名义启动的。比如下图中他以test启动的进程。这明显是假的。而rundl1.exe仔细看是能看出来l与1的区别的。还有可能用户利用EXPL0RER.EXE其中O并不是字母而是数字0。我在用户那里看见最多的是rundl1.exe还有就是

 

 

 

用processexplorer就可以看的更清楚。彩色不是我后加的。这个系统会自动显示出来。这个进程没有描述没有公司名。呵呵。（不过FBnclient.exe可不是病毒。）这个软件更可以看出系统调用的一些文件。（rsrc.dll就是用它查出来的。杀了就可以改主页了。）我在中毒用户电脑上用这个软件右键关闭这些进程。在平台上链用户。用户的IP就固定回了原来自己的IP了。可见系统的确是在用这几个进程工作着。

 

 

下一篇：ARP病毒可能的表现形式 进程 端口 及解决方法（续）