192.168.1.1-路由器设置 > 路由器设置 > 192.168.0.1 >

arp病毒分析

文章摘要

首先,将本机MAC通过arp至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp的传奇杀手软件中.通请看如下

 

  首先,将本机MAC通过arp至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp的传奇杀手软件中.通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.

  在局域网中受影响的客户机上执行arp-a,在回溃信息中会发现重复mac地址.该mac地址对应的即为使用传奇杀手的计算机.而重复的地址就是被arp后的网关地址.此时可根据mac地址前的ip地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所存在的计算机.(由此可见,备份一张详细的局域网mac地址列表有多重要)

  病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-e0-4c-8c-9a-47,正常的时候可以看到00-e0-4c-8c-9a-47的ip地址为192.168.0.131,就是这台机器中毒,将该机器的网线拔掉,再观察。

  192.168.0.68现在检测发现的就有2种外挂带这种木马了!传奇木马。。用户怎么判别自己的电脑是否感染该病毒?同时按下键盘上的“CTRL”、“ALT”和“DEL”键,调出“Windows任务管理器”,察看其中有没有一个名为“MIR0.dat”的进程,如果有,则说明已经中毒。中毒之后,用户电脑还会出现IE浏览器频繁出错,一些常用软件也会出现故障。

  工作原理大概就是运用ARP来实现的。所以临时的办法是使用最近新出的外挂。跟顾客协调好。比较实用的办法就是在运行里或者命令提示符下输入arp-sIP物理地址把IP和网卡物理地址绑到一起这样就了ARP木马的正常工作。网关不被替换掉当然就不掉线了。

分享到:

tags:192.168.0.68

最近更新-关于我们 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明
CopyRight2009-2011 All Rights Reserved 192.168.1.1 路由器设置jmqy.com