【木馬】瀏覽器瀏覽一些網站時 KIS會偵測到一個固定的位址有木馬

[fierycloud]

瀏覽器瀏覽一些網站時 KIS會偵測到一個固定的位址有木馬
h t t p : / / 6 0 . 2 4 8 . 2 3 . 2 0 / t a x i / i n d e x 3 . h t m

因為是不固定的出現 也不一定是哪個網站就會出現
在網路上搜尋後發現很像是ARP掛木馬 的現象
也就是可能是我的電腦 或是連到網站的路徑中的任一台電腦中了

不過
1.在命令提示字元下 打arp -a 顯示no arp entries found
2.裝了360 arp 防火牆 於KIS 偵測到時 並沒有紀錄
3.根據KIS 的紀錄 是出現在12/24號之後
4.連結一些論壇的網頁 有時會整頁或頁頂部分變成亂原始碼 這時候就會偵測到

想請教一下 應該要如何處理

OS: winxp sp3
中華電信光世代VDSL10M

[fierycloud]

ps. 剛發現 似乎如果不透過hinet proxy 就不會出現
但不確定

[shenhwang]

參考一下這篇，檢查一下是不是裝了msn shell
http://wiselysong.blogspot.com/2008/...serverarp.html

[minyen]

我也是有同樣問題
用T07開分享器 使用一固七浮
也是從24號開始有問題
一直看亂碼超不爽的
而且怎麼掃電腦 也沒用
最後 我是把一固的ip換個新的 就在也沒出現了...
至少一天半是正常的了
是卡到陰阿 還是被外部攻擊

也許是早被植入馬 所以會傳出去現在上網資料
但既然有馬 怎麼又安靜這麼久
且防火牆無其他異常連線的東西
連n百年沒上網的pc 拿來測試也是亂碼

[fierycloud]

引用:

作者: shenhwang

參考一下這篇，檢查一下是不是裝了msn shell
http://wiselysong.blogspot.com/2008/...serverarp.html

感謝 不過我沒有裝MSN shell

[wiselys]

引用:

作者: fierycloud

感謝 不過我沒有裝MSN shell

這個 6 0 . 2 4 8 . 2 3 . 2 0 木馬大概是耶誕節前冒出來的,而且還有在進化.由跡象來推測應該是用ARP欺騙方式掛馬的.目前看來對岸似乎有好幾個論壇網站有中標.
不過他是針對月中時爆出來的 IE7 0day漏洞來感染的,基本上用FF & 更新過的IE應該是不會有事.
如果不幸中了的話,他會去下載 那個URL的路徑底下的ActiveX.exe 然後執行,
之後就埋了個 C:\\WINDOWS\\system32\\svahost.exe 於開機時帶起,這是個key log木馬,會把動作記錄在C:\\WINDOWS\\system32\\svahost , 然後定時試圖連線 lovepi.8800.org 的tcp_port 80 (121.10.214.100[廣東汕头市]),應該是要把記錄到的資料回傳回去..

[fierycloud]

引用:

作者: wiselys

這個 6 0 . 2 4 8 . 2 3 . 2 0 木馬大概是耶誕節前冒出來的,而且還有在進化.由跡象來推測應該是用ARP欺騙方式掛馬的.目前看來對岸似乎有好幾個論壇網站有中標.
不過他是針對月中時爆出來的 IE7 0day漏洞來感染的,基本上用FF & 更新過的IE應該是不會有事.
如果不幸中了的話,他會去下載 那個URL的路徑底下的ActiveX.exe 然後執行,
之後就埋了個 C:\\WINDOWS\\system32\\svahost.exe 於開機時帶起,這是個key log木馬,會把動作記錄在C:\\WINDOWS\\system32\\svahost , 然後定時試圖連線 lovepi.8800.org 的tcp_port 80 (121.10.214.100[廣東汕头市]),應該是要把記錄到的資料回傳回去..

感謝

請教一下 那如果 目前已經沒有偵測到的訊息 而且沒有svahost.exe
是不是就是沒有感染到

[wiselys]

引用:

作者: fierycloud

感謝

請教一下 那如果 目前已經沒有偵測到的訊息 而且沒有svahost.exe
是不是就是沒有感染到

沒有的話那就應該沒事了,那個發源的index3.htm是針對IE7的漏洞,只要立即有作微軟的update理論上應該就沒事了..