最近很多朋友都遇到16a.us病毒困撓,在看了我的好友 麥糊CEO 的一篇文章 《16a.us病毒(又一次ARP病毒欺騙攻擊)解決方案》 之后,發(fā)現(xiàn)問題只是被簡(jiǎn)單繞過或者說是沒有治本,出于對(duì)技術(shù)的執(zhí)著,我一定要挖根揪底,把16a.us的元兇反法找到......
如果你的局域網(wǎng)里只有幾臺(tái)電腦便可采用最笨的辦法,逐臺(tái)掃描殺毒,但如果你管理著上百臺(tái),甚至上千臺(tái),上萬臺(tái)電腦那么處理起來就非常棘手,其實(shí)只要簡(jiǎn)單的辦法就可以快速找到“元兇”,迅速解決問題。
通過分析ARP的原理我們可以總結(jié)出來,中毒的電腦將自己偽裝為代理服務(wù)器,當(dāng)你的電腦訪問網(wǎng)關(guān)的時(shí)候MAC地址將為“元兇”的MAC,我們只要找到這臺(tái)電腦分析和清除病毒后整個(gè)網(wǎng)絡(luò)就恢復(fù)正常。
解決步驟:
1、進(jìn)路由器查看“WAN設(shè)置”里的“WAN口MAC地址克隆”,找到圖中紅色線框里的MAC,發(fā)現(xiàn)并不是我們這臺(tái)PC的MAC(我的電腦實(shí)際的MAC地址為00:14:2a:f8:ba:32),也就是說這個(gè)就是“元兇”的MAC地址,這樣我們就找到真兇了
2、到了“元兇”那臺(tái)電腦上一查看發(fā)現(xiàn)沒有安裝殺毒軟件,迅速裝上“360安全衛(wèi)士”,先把啟動(dòng)項(xiàng)/系統(tǒng)進(jìn)程的可疑文件禁止(也可以通過注冊(cè)表),然后通過“查殺惡意軟件”發(fā)現(xiàn)原來病毒是通過近期大名鼎鼎的高危險(xiǎn)ANI鼠標(biāo)指針漏洞植入的:)
3、安裝殺毒軟件徹底查殺病毒,如果安裝好卡巴斯基后發(fā)現(xiàn)圖標(biāo)是灰色的,也就是說不能工作的時(shí)候,查看一下系統(tǒng)時(shí)間可以發(fā)現(xiàn)被更改為1966年了。其實(shí)就是病毒制造者在利用卡巴的這個(gè)漏洞把殺毒軟件干掉,以使自己滋生蔓延。
