同事公司网内用的是代理上网,前几天,他对我说,老是有人反映,公司有人上网时提示没有权限,要求输入用户名和密码;他们公司情况我知道,用的是ccproxy上网,代理限制用的是mac+ip,这样,各个客户端上网时就不用输入权限验证了,很方便。我问他,是不是有人更改了ip或者更换了网卡没有及时更新验证信息呢?他说,绝对没有,硬件没有任何改动。这就奇怪了,打算跟他去看看。并且,心里有些隐约怀疑和arp攻击有关。前一段也遇见过一例,难道这次又旧态复发了?
去看了以后,先随便找了一台电脑,cmd进入命令行界面,arp -d,清除本地arp缓存,然后随便找一个可以ping通的ip地址,ping了以后,然后再arp -a,果然发现了问题;如下图:
发现这个mac地址有嫌疑以后,我心里还有些忐忑,万一是木马自己伪装的mac地址,哪查起来就又有些麻烦了;问了一下同事,有没有网内的mac地址表,同事随手拿过来一份,我稍稍一浏览,就发现了目标所在地。然后和他到了那台电脑旁的时候,发现没有人,显示器关着,主机开着;心中怀疑,不会是有人故意用木马或者类似arp攻击类的软件捣乱吧?打开电脑以后,打开任务进程,发现了很多foxrar、rundll32.exe,svchost.exe的进程,这些进程一看就不正常,正常的进程不会是这个样子的,另外,rundll32.exe,这东西在进程列表里面就说出现也是一闪即逝的。另外,更有意思的是还有一个logo_.exe,这个垃圾,装得像个正常进程,其实绝对的垃圾;还有一个rundl1.exe,这个更是混蛋,还有1来代替L,低能之辈。
由于事情比较紧,另外,本机备份的有系统镜像,也没有进行实时清除,直接恢复备份的镜像就行了。
如果清除的话,不外乎断网后升级病毒库,启动到安全模式下,利用优化大师流氓软件清除组件、超级兔子、360安全卫士之类的清除流氓软件、木马,然后杀病毒软件杀毒,应该就可以OK了。
