Re: [中毒] LSASS.EXE的問題

看板AntiVirus (防毒)作者cscxc (咦)時間17年前 (2007/12/22 23:06)推噓3(3推 0噓 3→)

留言6則, 4人參與討論串2/3 (看更多)

關於這隻病毒，因為最近才遇到過，發現似乎有個大家都沒有提到的問題 (關於ARP的部份，不知是不是最近才出現的變種) 可能想分享一下，若有不適當請告知我會自D，或有任何錯誤還請高手們指正謝謝 m(_ _)m -- 如果我的理解正確的話遇到這隻病毒最大的特色似乎是在瀏覽網頁時會出現 "對岸的IM軟體QQ" 的廣告同時，你如果下載檔案，也會變成改去下載 setup.exe 在沒有警覺到有問題的情況下，執行了也就中毒了 (因為你可能本來也是想要下載某個安裝檔之類的..) 此時，我想大家的第一個問題就是，「我中毒了嗎？」 The answer is ..... 可能有也可能沒有 !! (被毆飛~) 這隻病毒我覺得最特色的地方是，它用上了 ARP(*1) 的攻擊即使你的電腦完全沒有中毒，但只要你同個區域網路中有人中毒還是有可能會出現網頁被加入廣告的情況所以在這陣子，最好看到 setup.exe 都多注意一下吧 orz... 前幾篇文所列出的中毒狀況裡似乎沒說到 ARP 攻擊這一塊，我個人覺得這是個很嚴重的問題在區網很大的地方 (例如學校)，這東西的傳播應該還蠻快的... 但同時，由於使用了 ARP 攻擊，也有可能造成區網不是很穩定，會常常斷線等情況.. 相關的資料，可以 Google "121.15.220.104" (幾乎全是簡體內容 !) 我覺得寫的比較清楚的是這篇 (對岸的網站，我開目前是沒遇到奇怪的東西) http://bbs.zsu.edu.cn/bbscon?board=Virus&file=M.1198041592.A *1: ARP 是 Address Resolution Protocol，主要目的是將 IP Address 對映到 MAC address 時所用的協定，可參考 Wikipedia: Address Resolution Protocol http://en.wikipedia.org/wiki/Address_Resolution_Protocol -- 我個人是用小紅傘，也有載到 setup.exe 但我習慣自解壓縮檔仍使用 WinRAR 來解開(也意外的逃過一劫) 一解開小紅傘就跳警示了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.73.138.187