【木馬】瀏覽器瀏覽一些網站時 KIS會偵測到一個固定的位址有木馬

**fierycloud** · 2008-12-29, 12:13 AM

瀏覽器瀏覽一些網站時 KIS會偵測到一個固定的位址有木馬
h t t p : / / 6 0 . 2 4 8 . 2 3 . 2 0 / t a x i / i n d e x 3 . h t m

因為是不固定的出現也不一定是哪個網站就會出現
在網路上搜尋後發現很像是ARP掛木馬的現象
也就是可能是我的電腦或是連到網站的路徑中的任一台電腦中了

不過
1.在命令提示字元下打arp -a 顯示no arp entries found
2.裝了360 arp 防火牆於KIS 偵測到時並沒有紀錄
3.根據KIS 的紀錄是出現在12/24號之後
4.連結一些論壇的網頁有時會整頁或頁頂部分變成亂原始碼這時候就會偵測到

想請教一下應該要如何處理

OS: winxp sp3
中華電信光世代VDSL10M

**fierycloud** · 2008-12-29, 01:36 AM

ps. 剛發現似乎如果不透過hinet proxy 就不會出現
但不確定

**shenhwang** · 2008-12-29, 09:41 AM

參考一下這篇，檢查一下是不是裝了msn shell
http://wiselysong.blogspot.com/2008/...serverarp.html

**minyen** · 2008-12-29, 11:07 AM

我也是有同樣問題
用T07開分享器使用一固七浮
也是從24號開始有問題
一直看亂碼超不爽的
而且怎麼掃電腦也沒用
最後我是把一固的ip換個新的就在也沒出現了...
至少一天半是正常的了
是卡到陰阿還是被外部攻擊

也許是早被植入馬所以會傳出去現在上網資料
但既然有馬怎麼又安靜這麼久
且防火牆無其他異常連線的東西
連n百年沒上網的pc 拿來測試也是亂碼

**fierycloud** · 2008-12-29, 12:05 PM

作者：shenhwang

參考一下這篇，檢查一下是不是裝了msn shell
http://wiselysong.blogspot.com/2008/...serverarp.html

感謝

不過我沒有裝MSN shell

**wiselys** · 2008-12-29, 09:53 PM

作者：fierycloud

感謝

不過我沒有裝MSN shell

這個 6 0 . 2 4 8 . 2 3 . 2 0 木馬大概是耶誕節前冒出來的,而且還有在進化.由跡象來推測應該是用ARP欺騙方式掛馬的.目前看來對岸似乎有好幾個論壇網站有中標.
不過他是針對月中時爆出來的 IE7 0day漏洞來感染的,基本上用FF & 更新過的IE應該是不會有事.
如果不幸中了的話,他會去下載那個URL的路徑底下的ActiveX.exe 然後執行,
之後就埋了個 C:\\WINDOWS\\system32\\svahost.exe 於開機時帶起,這是個key log木馬,會把動作記錄在C:\\WINDOWS\\system32\\svahost , 然後定時試圖連線 lovepi.8800.org 的tcp_port 80 (121.10.214.100[廣東汕头市]),應該是要把記錄到的資料回傳回去..

**fierycloud** · 2008-12-30, 03:25 PM

作者：wiselys

這個 6 0 . 2 4 8 . 2 3 . 2 0 木馬大概是耶誕節前冒出來的,而且還有在進化.由跡象來推測應該是用ARP欺騙方式掛馬的.目前看來對岸似乎有好幾個論壇網站有中標.
不過他是針對月中時爆出來的 IE7 0day漏洞來感染的,基本上用FF & 更新過的IE應該是不會有事.
如果不幸中了的話,他會去下載那個URL的路徑底下的ActiveX.exe 然後執行,
之後就埋了個 C:\\WINDOWS\\system32\\svahost.exe 於開機時帶起,這是個key log木馬,會把動作記錄在C:\\WINDOWS\\system32\\svahost , 然後定時試圖連線 lovepi.8800.org 的tcp_port 80 (121.10.214.100[廣東汕头市]),應該是要把記錄到的資料回傳回去..

感謝

請教一下那如果目前已經沒有偵測到的訊息而且沒有svahost.exe
是不是就是沒有感染到