网络电影引发的后门及解决办法
新客网 XKER.COM 2007-03-24 来源: 收藏本文
由于网络不稳定,舍友们没了平时的雅兴,在网络断流的时间里,都会靠玩局域网游戏或者看电影打发时间,因为IP为192.168.1.13的舍友平时用卡盟之类的P2P软件下载了一些恐怖片,所以偶尔也会在他那里看,这天在看《鬼来电》的时候,突然弹出了一个小小的网页,由于此时网络不可用,变成了“该页无法显示”,舍友对此似乎很熟悉了,他说下载的几个电影都会在观看过程中弹出一些宣传广告,但他觉得这种广告毫无意义,因为有时候开全屏了就看不到了,直到电影结束下才会发现桌面上多了个网页广告。
网页广告?我脑子里却闪过一个术语:网页木马!
马上要他随便传一个以前下载的那些“会弹出广告”的电影给我,在放映到5分钟左右的片段的时候,弹出了一个网页,上面果然是宣传广告,但是我却看到下面的进度条迟迟不肯进到100%!马上拔掉网线,查看它的HTML代码,发现在文件尾部有些奇怪的东西,为了确认,我开了IRIS抓包,果然发现这个页面向某个IP发出了“GET /RMVB.exe”的请求!这是个连接网页木马的电影文件!那么舍友的机器必定中马无疑!
重启Modem,让那位舍友赶在没断流之前去瑞星在线查毒网站扫描一下,出乎我的意料,居然报告机器没有中毒!我不死心,运行Msconfig检查“启动”项没有异常,可是在检查“服务”项的时候却发现一个“Rundll32 Management”服务,Rundll32还需要这种服务维持运行?服务管理器显示这个服务对应的文件是WINDOWS目录下的RManage32.exe,可是我打开相关目录却没发现这个文件,难道见鬼了?重启进入安全模式,居然发现文件是存在的,来不及思考是怎么回事,把它复制到自己的电脑后,帮舍友删除了这个文件,重启几次后确认这个文件没有再出现了。
接下来我直接在自己机器运行了这个文件,刚运行不久,就发现网络传输指示一直亮着,同时Modem监控程序就报告超时了,过了一会儿,网络再次断流!马上看Modem的防火墙日志,发现我的IP(192.168.1.8)被认为是SingleHost DOS,攻击源找到了!
三. 追查“牧马者”
清理RManage32进程和服务项后,宿舍网络再也没有断流过,看来真凶就是这个小东西了!目前由于瑞星无法查杀这个文件,我也不好推测它是什么用途,但有一点可以肯定的是,这个程序在试图与远程的什么东西进行数据传输,结果由于内网NAT映射的缘故导致建立连接失败,程序的多次连接尝试最终被Modem视为拒绝服务攻击,并意外的诱发Modem处理芯片的bug,导致Modem罢工造成宿舍网络断流!
网页广告?我脑子里却闪过一个术语:网页木马!
马上要他随便传一个以前下载的那些“会弹出广告”的电影给我,在放映到5分钟左右的片段的时候,弹出了一个网页,上面果然是宣传广告,但是我却看到下面的进度条迟迟不肯进到100%!马上拔掉网线,查看它的HTML代码,发现在文件尾部有些奇怪的东西,为了确认,我开了IRIS抓包,果然发现这个页面向某个IP发出了“GET /RMVB.exe”的请求!这是个连接网页木马的电影文件!那么舍友的机器必定中马无疑!
重启Modem,让那位舍友赶在没断流之前去瑞星在线查毒网站扫描一下,出乎我的意料,居然报告机器没有中毒!我不死心,运行Msconfig检查“启动”项没有异常,可是在检查“服务”项的时候却发现一个“Rundll32 Management”服务,Rundll32还需要这种服务维持运行?服务管理器显示这个服务对应的文件是WINDOWS目录下的RManage32.exe,可是我打开相关目录却没发现这个文件,难道见鬼了?重启进入安全模式,居然发现文件是存在的,来不及思考是怎么回事,把它复制到自己的电脑后,帮舍友删除了这个文件,重启几次后确认这个文件没有再出现了。
接下来我直接在自己机器运行了这个文件,刚运行不久,就发现网络传输指示一直亮着,同时Modem监控程序就报告超时了,过了一会儿,网络再次断流!马上看Modem的防火墙日志,发现我的IP(192.168.1.8)被认为是SingleHost DOS,攻击源找到了!
三. 追查“牧马者”
清理RManage32进程和服务项后,宿舍网络再也没有断流过,看来真凶就是这个小东西了!目前由于瑞星无法查杀这个文件,我也不好推测它是什么用途,但有一点可以肯定的是,这个程序在试图与远程的什么东西进行数据传输,结果由于内网NAT映射的缘故导致建立连接失败,程序的多次连接尝试最终被Modem视为拒绝服务攻击,并意外的诱发Modem处理芯片的bug,导致Modem罢工造成宿舍网络断流!
上一篇:保护系统 从防范IP泄漏开始! 下一篇:终端入侵防护解决方案七大纪律
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐