Re: [問題] 網路慢 BBS慢 有些網頁打不開
: 有些網頁打不開
: 出現
:
: 1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C?????
: BBS也嚴重累格
:
: 請教各大大
: 要怎嚜解決
: 謝謝
:
: --
: ※ 發信站: 批踢踢實業坊(ptt.cc)
: ◆ From: 140.113.95.131
這是你們網路下有人的電腦中毒 (140.113.95.x)
用arp封包去欺騙router (default gateway)
讓router送給一般user的封包 通通送到中毒的電腦上
部分HTTP封包會被修改(才會在網頁上出現奇怪字串)
然後再送回給一般的user
因為全部流入的流量都送到中毒的電腦上
處理不及 所以會造成大lag
如果到router上看arp table會發現那個網路下幾乎每個IP都被對應到中毒電腦的卡號
(140.113.95.XX都對到同一個卡號 AA:BB:CC:DD:EE:FF)
要找到是哪一台電腦在搞鬼
用wireshark之類聽封包的軟體
會發現host透過gateway送出去的封包,ethernet的des會是router的卡號
但從gateway送回給host的封包,ethernet的src卻不是router的卡號
會是中毒那台的卡號
這樣就可以找到是哪個傢伙中毒了
中毒的那台電腦上
應該會在 Program Files\Common Files\Microsoft Shared\MSInfo 下
出現一個假的svchost.exe檔
那個就是病毒
而且去看他的arp table (命令提示字元下 arp -a)
會發現幾乎那個網路下每個host的ip -> mac的對應都被設定成static (通常是dynamic)
我目前發現這個病毒是透過隨身碟感染
應該是隨身碟病毒的變種?
執行隨身碟裡面的Ghost.pif檔以後
在兩分鐘之內會跑出作亂的那個svchost.exe檔
然後開始搗蛋
造成網頁出現奇怪字串以及大lag
--
這大概是我目前觀察出來的結果
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 221.169.40.127
推
05/28 21:32, , 1F
05/28 21:32, 1F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
