http://vp.kyu.edu.tw/vp/news_info.php?no=152
◎ 若您對網路相關的指令熟悉,您可以使用以下方式來進行:
並由 "開始" => "附屬應用程式" => "命令提示字元" 並輸入如下指令:
C:\>ARP -s [Gateway IP Address] [Gateway MAC Address]
這樣就可以正常上網了。
◎ 工作原理如下:
首先,確認目標電腦,再搜尋同網段當中,防護力較弱的電腦,把惡意程式植入較弱的電腦,這樣就可以從遠端控制該電腦的網路存取功能。取得該電腦的控制權後,發送假的ARP封包到目標電腦,該目標電腦使會替換掉原有的閘道器設定。接下來從目標電腦發送的封包,都會經由原先被植入惡意程式的電腦,再發送出去,所以所有的網頁資料,全部都會被"加料"。
有時讀取某些單位的網站時,頁面會出現不明的亂碼。
例如:1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C
經了解後,此亂碼並非字型編碼的問題。而是被惡意程式欺騙,送了"加料"的網頁。
http://geteway.game.tw/phpbb/trackback.php?e=34
如果發現電腦在瀏覽器的地方,都會出現
"1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C"
或
"1^LIBraBBGvB8i~Y*q~UU?"
這樣的字串,且同家網咖的電腦、或是區網的電腦也都在瀏覽器出現這樣子的字串,那八成是...中毒了
病毒說明:
病毒將某一台電腦感染後,利用該台電腦當跳板
再利用ARP攻擊的原理,將同一網段的使用者的閘道(Gateway)導到本機
然後竊取流到中毒機台的網頁(HTTP)的封包,並將封包內容插入該惡意字串(如上所示)
所以,只要在同一網段內的網頁(HTTP)封包的表頭就會被修改!
解決方式:
找出被當跳板的電腦,把他重開機,如果還原沒失效的話,應該會把病毒還原掉。
但是如果還原系統也被破壞的話,那...還是趕快把中毒機台的系統重作吧。
請多利用網路查詢
