用网络分析发现ARP扫描和ARP病毒木马的全过程
由于从事网络多年,也有良好的安全使用习惯,对于网络病毒或木马都不太担心,只要不去打开不明的邮件附件,安装上防火墙和杀毒软件,很难感染上这些讨厌的病毒和木马。下面是我发现本机中招的经历,帖出来与大家分享一下,并且附工程文件。
本人使用是WinXP操作系统,升级到SK2,安装了防火墙 ZoneAlarm Pro 6.5.722,杀毒软件是用的卡巴斯基。应该是很安全的防范,不知道大家是不是都是用的这样的防火墙和杀毒工具。下面说一下发现中招的过程:
早上起来,收邮件,总觉得机器响应很慢,关掉foxmail,IE浏览器,也关掉了photoshop,这个东西占用内存也不少。现在基本上没有什么执行的应用程序了,但情况一直不见好转,硬盘灯在不断的闪,显然是在读或写操作。前几天听一哥们儿说感染了木马,有ARP扫描,是用科来网络分析系统看出来的。正好,我前几天也注册过,也查一下吧。运行科来网络分析系统,我们还是来分析一把。下面的结果证实了我的不好的预感。
首先发现大量的ARP无请求应答,也就是我的主机在不断的主动应答,问题是没有请求的ARP应答。
本人使用是WinXP操作系统,升级到SK2,安装了防火墙 ZoneAlarm Pro 6.5.722,杀毒软件是用的卡巴斯基。应该是很安全的防范,不知道大家是不是都是用的这样的防火墙和杀毒工具。下面说一下发现中招的过程:
早上起来,收邮件,总觉得机器响应很慢,关掉foxmail,IE浏览器,也关掉了photoshop,这个东西占用内存也不少。现在基本上没有什么执行的应用程序了,但情况一直不见好转,硬盘灯在不断的闪,显然是在读或写操作。前几天听一哥们儿说感染了木马,有ARP扫描,是用科来网络分析系统看出来的。正好,我前几天也注册过,也查一下吧。运行科来网络分析系统,我们还是来分析一把。下面的结果证实了我的不好的预感。
首先发现大量的ARP无请求应答,也就是我的主机在不断的主动应答,问题是没有请求的ARP应答。
查看节点流量,本机的IP是192.168.1.100,每秒2M位,也就是说速度是250KB/秒,这么快的速度,平时上网也很难达到呀。
其它可疑的值还有请求数,我已经关掉了上网应用程序,不应该还有这么多的请求,而且流量也有170M
其它可疑的值还有请求数,我已经关掉了上网应用程序,不应该还有这么多的请求,而且流量也有170M
再看一下偶比较喜欢用的矩阵功能,主机运行慢的问题已经是非常明显了,如果网络内还有其它机器,上网肯定会受到影响。
在这里,能明显看到有两条亮绿色的粗线,说明一直在连接,并且流量很大;
几乎所有的连接都是由 192.168.1.100 连接,发散型,很容易定位有问题的主机;
192.168.1.100 主机有大量的暗绿色连接,这些都是单向连接,如果不是被DDos攻击,就应该是自身在扫描或主动请求。
在这里,能明显看到有两条亮绿色的粗线,说明一直在连接,并且流量很大;
几乎所有的连接都是由 192.168.1.100 连接,发散型,很容易定位有问题的主机;
192.168.1.100 主机有大量的暗绿色连接,这些都是单向连接,如果不是被DDos攻击,就应该是自身在扫描或主动请求。
最后返回诊断视图,这里提供了发现到的所有网络问题,每个问题系统都有相应的解释,我帖出来,主要是给大家看一下,感染木马,造成的一个网络现象。
那到底中的是什么病毒呢,用常用的查找注册表的方法,开机看启动了什么进程,方法: 开始 > 运行 > regedit,打开注册表后,查找 run,发现可疑的应用程序:winsmd.exe
那到底中的是什么病毒呢,用常用的查找注册表的方法,开机看启动了什么进程,方法: 开始 > 运行 > regedit,打开注册表后,查找 run,发现可疑的应用程序:winsmd.exe
winsmd.exe 木马病毒的解决方法
怎么来判断这是不是病毒呢,在google上搜索一下,潮湿关键词:“winsmd.exe 病毒”。
下面是收集的解决办法:
机器症状:
1.进程中多一个vktserv.exe的进程,可能也有winsmd.exe。
2.C:\WINDOWS\system32下有winsmd.exe,vktserv.exe
3.启动项中有winsmd.exe(msconfig)
4.系统服务中多了个vktserv
建议解决办法:
1.结束winsmd.exe,删除C:\WINDOWS\system32下winsmd.exe
2.结束vktserv.exe,删除C:\WINDOWS\system32下vktserv.exe
3.去掉启动项的勾
4.停止vktserv服务。
下面是收集的解决办法:
机器症状:
1.进程中多一个vktserv.exe的进程,可能也有winsmd.exe。
2.C:\WINDOWS\system32下有winsmd.exe,vktserv.exe
3.启动项中有winsmd.exe(msconfig)
4.系统服务中多了个vktserv
建议解决办法:
1.结束winsmd.exe,删除C:\WINDOWS\system32下winsmd.exe
2.结束vktserv.exe,删除C:\WINDOWS\system32下vktserv.exe
3.去掉启动项的勾
4.停止vktserv服务。
关于spoolsv.exe 病毒的解决方法
除了winsmd.exe 木马之外,另外用同样的方法还查找到一个更难解决的木马,spoolsv.exe,如果中了,会启动:C:\WINDOWS\System32\spoolsv\spoolsv.exe -printer
下面是解决办法:
关于spoolsv.exe 病毒的解决方收藏此文
正常的spoolsv.exe 文件有57k,而病毒文件有44K,一般方法是删不掉的。以下是转贴方法。有些效果的。
首先进入安全模式,控制面板,打开添加或删除程序,卸载WinDirected 2.0。这个是罪魁祸首。删除 c:/windows/system32/spoolsv/文件夹
删除c:/windows/exploer.exe程序。(很像explorer.exe)
删除%System%\wmpdrm.dll
好了,以上是关键部分。
下面是从网上复制过来的比较有水平的方法。
下面是关于病毒的一些资料:
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http: file://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}].
spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe
根据病毒信息提供偶得查杀方法:
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116
2。开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项
3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除
下面是解决办法:
关于spoolsv.exe 病毒的解决方收藏此文
正常的spoolsv.exe 文件有57k,而病毒文件有44K,一般方法是删不掉的。以下是转贴方法。有些效果的。
首先进入安全模式,控制面板,打开添加或删除程序,卸载WinDirected 2.0。这个是罪魁祸首。删除 c:/windows/system32/spoolsv/文件夹
删除c:/windows/exploer.exe程序。(很像explorer.exe)
删除%System%\wmpdrm.dll
好了,以上是关键部分。
下面是从网上复制过来的比较有水平的方法。
下面是关于病毒的一些资料:
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http: file://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}].
spoolsv.exe和windows的打印服务spoolsv.exe很类似,不要被它迷惑了,打印服务spoolsv.exe的目录是系统文件夹(以XP为例)system32\spoolsv.exe而此病毒的路径为system32\spoolsv\sploosv.exe
根据病毒信息提供偶得查杀方法:
1。进入系统目录system32删除文件夹spoolsv和miscn以及1116
2。开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项
3。在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}
找到以后进行删除