|
附:中国泥鳅的《处理“元凶”,彻底根除16a.us病毒》一文 最近很多朋友都遇到16a.us病毒困挠,在看了我的好友 麦糊CEO 的一篇文章 《16a.us病毒(又一次ARP病毒欺骗攻击)解决方案》 之后,发现问题只是被简单绕过或者说是没有治本,出于对技术的执着,我一定要挖根揪底,把16a.us的元凶反法找到......
如果你的局域网里只有几台电脑便可采用最笨的办法,逐台扫描杀毒,但如果你管理着上百台,甚至上千台,上万台电脑那么处理起来就非常棘手,其实只要简单的办法就可以快速找到“元凶”,迅速解决问题。
通过分析ARP的原理我们可以总结出来,中毒的电脑将自己伪装为代理服务器,当你的电脑访问网关的时候MAC地址将为“元凶”的MAC,我们只要找到这台电脑分析和清除病毒后整个网络就恢复正常。
解决步骤:
1、进路由器查看“WAN设置”里的“WAN口MAC地址克隆”,找到图中红色线框里的MAC,发现并不是我们这台PC的MAC(我的电脑实际的MAC地址为00:14:2a:f8:ba:32),也就是说这个就是“元凶”的MAC地址,这样我们就找到真凶了
 2、到了“元凶”那台电脑上一查看发现没有安装杀毒软件,迅速装上“360安全卫士”,先把启动项/系统进程的可疑文件禁止(也可以通过注册表),然后通过“查杀恶意软件”发现原来病毒是通过近期大名鼎鼎的高危险ANI鼠标指针漏洞植入的:)
 3、安装杀毒软件彻底查杀病毒,如果安装好卡巴斯基后发现图标是灰色的,也就是说不能工作的时候,查看一下系统时间可以发现被更改为1966年了。其实就是病毒制造者在利用卡巴的这个漏洞把杀毒软件干掉,以使自己滋生蔓延。
|