fierycloud
2008-12-29, 12:13 AM
瀏覽器瀏覽一些網站時 KIS會偵測到一個固定的位址有木馬
h t t p : / / 6 0 . 2 4 8 . 2 3 . 2 0 / t a x i / i n d e x 3 . h t m
因為是不固定的出現 也不一定是哪個網站就會出現
在網路上搜尋後發現很像是ARP掛木馬 的現象
也就是可能是我的電腦 或是連到網站的路徑中的任一台電腦中了
不過
1.在命令提示字元下 打arp -a 顯示no arp entries found
2.裝了360 arp 防火牆 於KIS 偵測到時 並沒有紀錄
3.根據KIS 的紀錄 是出現在12/24號之後
4.連結一些論壇的網頁 有時會整頁或頁頂部分變成亂原始碼 這時候就會偵測到
想請教一下 應該要如何處理
OS: winxp sp3
中華電信光世代VDSL10M
贊助商連結
fierycloud
2008-12-29, 01:36 AM
ps. 剛發現 似乎如果不透過hinet proxy 就不會出現
但不確定
shenhwang
2008-12-29, 09:41 AM
參考一下這篇,檢查一下是不是裝了msn shell
http://wiselysong.blogspot.com/2008/12/msn-shell-serverarp.html
minyen
2008-12-29, 11:07 AM
我也是有同樣問題
用T07開分享器 使用一固七浮
也是從24號開始有問題
一直看亂碼超不爽的
而且怎麼掃電腦 也沒用
最後 我是把一固的ip換個新的 就在也沒出現了...
至少一天半是正常的了
是卡到陰阿 還是被外部攻擊
也許是早被植入馬 所以會傳出去現在上網資料
但既然有馬 怎麼又安靜這麼久
且防火牆無其他異常連線的東西
連n百年沒上網的pc 拿來測試也是亂碼
fierycloud
2008-12-29, 12:05 PM
參考一下這篇,檢查一下是不是裝了msn shell
http://wiselysong.blogspot.com/2008/12/msn-shell-serverarp.html
感謝 :lovely: 不過我沒有裝MSN shell
wiselys
2008-12-29, 09:53 PM
感謝 :lovely: 不過我沒有裝MSN shell
這個 6 0 . 2 4 8 . 2 3 . 2 0 木馬大概是耶誕節前冒出來的,而且還有在進化.由跡象來推測應該是用ARP欺騙方式掛馬的.目前看來對岸似乎有好幾個論壇網站有中標.
不過他是針對月中時爆出來的 IE7 0day漏洞來感染的,基本上用FF & 更新過的IE應該是不會有事.
如果不幸中了的話,他會去下載 那個URL的路徑底下的ActiveX.exe 然後執行,
之後就埋了個 C:\\WINDOWS\\system32\\svahost.exe 於開機時帶起,這是個key log木馬,會把動作記錄在C:\\WINDOWS\\system32\\svahost , 然後定時試圖連線 lovepi.8800.org 的tcp_port 80 (121.10.214.100[廣東汕头市]),應該是要把記錄到的資料回傳回去..
fierycloud
2008-12-30, 03:25 PM
這個 6 0 . 2 4 8 . 2 3 . 2 0 木馬大概是耶誕節前冒出來的,而且還有在進化.由跡象來推測應該是用ARP欺騙方式掛馬的.目前看來對岸似乎有好幾個論壇網站有中標.
不過他是針對月中時爆出來的 IE7 0day漏洞來感染的,基本上用FF & 更新過的IE應該是不會有事.
如果不幸中了的話,他會去下載 那個URL的路徑底下的ActiveX.exe 然後執行,
之後就埋了個 C:\\WINDOWS\\system32\\svahost.exe 於開機時帶起,這是個key log木馬,會把動作記錄在C:\\WINDOWS\\system32\\svahost , 然後定時試圖連線 lovepi.8800.org 的tcp_port 80 (121.10.214.100[廣東汕头市]),應該是要把記錄到的資料回傳回去..
感謝:lovely:
請教一下 那如果 目前已經沒有偵測到的訊息 而且沒有svahost.exe
是不是就是沒有感染到
wiselys
2009-01-02, 06:23 PM
感謝:lovely:
請教一下 那如果 目前已經沒有偵測到的訊息 而且沒有svahost.exe
是不是就是沒有感染到
沒有的話那就應該沒事了,那個發源的index3.htm是針對IE7的漏洞,只要立即有作微軟的update理論上應該就沒事了..