最近很多朋友都遇到16a.us病毒困挠,在看了我的好友 麦糊CEO 的一篇文章 《16a.us病毒(又一次ARP病毒欺骗攻击)解决方案》 之后,发现问题只是被简单绕过或者说是没有治本,出于对技术的执着,我一定要挖根揪底,把16a.us的元凶反法找到......
如果你的局域网里只有几台电脑便可采用最笨的办法,逐台扫描杀毒,但如果你管理着上百台,甚至上千台,上万台电脑那么处理起来就非常棘手,其实只要简单的办法就可以快速找到“元凶”,迅速解决问题。
通过分析ARP的原理我们可以总结出来,中毒的电脑将自己伪装为代理服务器,当你的电脑访问网关的时候MAC地址将为“元凶”的MAC,我们只要找到这台电脑分析和清除病毒后整个网络就恢复正常。
解决步骤:
1、进路由器查看“WAN设置”里的“WAN口MAC地址克隆”,找到图中红色线框里的MAC,发现并不是我们这台PC的MAC(我的电脑实际的MAC地址为00:14:2a:f8:ba:32),也就是说这个就是“元凶”的MAC地址,这样我们就找到真凶了
![]()
=700) window.open('http://bbs.security.ccidnet.com/attachment/Mon_0705/87_397612_bf797ad12b8a83e.jpg');" src="http://bbs.security.ccidnet.com/attachment/Mon_0705/87_397612_bf797ad12b8a83e.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
2、到了“元凶”那台电脑上一查看发现没有安装杀毒软件,迅速装上“360安全卫士”,先把启动项/系统进程的可疑文件禁止(也可以通过注册表),然后通过“查杀恶意软件”发现原来病毒是通过近期大名鼎鼎的高危险ANI鼠标指针漏洞植入的:)
![]()
=700) window.open('http://bbs.security.ccidnet.com/attachment/Mon_0705/87_397612_7e6ac52b15df15b.jpg');" src="http://bbs.security.ccidnet.com/attachment/Mon_0705/87_397612_7e6ac52b15df15b.jpg" onload="if(this.width > 700)this.width = 700;if(this.height > 700) this.height = 700;" border=0>
3、安装杀毒软件彻底查杀病毒,如果安装好卡巴斯基后发现图标是灰色的,也就是说不能工作的时候,查看一下系统时间可以发现被更改为1966年了。其实就是病毒制造者在利用卡巴的这个漏洞把杀毒软件干掉,以使自己滋生蔓延。
声明:中国IT运维网登载此文出于传递更多信息之目的,并不意味着本站赞同其观点或证实其描述。其原创性以及文中陈述
文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或
承诺,请网友及读者仅作参考,并请自行核实相关内容。如原作者不同意在本网站刊登内容,请及时通知本站予以删除。凡本网站注明"来源:中国IT运维网"的作品,在授权范围内使用时,请保留注明"来源:中国IT运维网"。
;QQ联络:1360095750。