最近很多朋友都遇到16a.us病毒困撓,在看了我的好友 麥糊CEO 的一篇文章 《16a.us病毒(又一次ARP病毒欺騙攻擊)解決方案》 之后,發現問題只是被簡單繞過或者說是沒有治本,出于對技術的執著,我一定要挖根揪底,把16a.us的元兇反法找到......
如果你的局域網里只有幾臺電腦便可采用最笨的辦法,逐臺掃描殺毒,但如果你管理著上百臺,甚至上千臺,上萬臺電腦那么處理起來就非常棘手,其實只要簡單的辦法就可以快速找到“元兇”,迅速解決問題。
通過分析ARP的原理我們可以總結出來,中毒的電腦將自己偽裝為代理服務器,當你的電腦訪問網關的時候MAC地址將為“元兇”的MAC,我們只要找到這臺電腦分析和清除病毒后整個網絡就恢復正常。
解決步驟:
1、進路由器查看“WAN設置”里的“WAN口MAC地址克隆”,找到圖中紅色線框里的MAC,發現并不是我們這臺PC的MAC(我的電腦實際的MAC地址為00:14:2a:f8:ba:32),也就是說這個就是“元兇”的MAC地址,這樣我們就找到真兇了
2、到了“元兇”那臺電腦上一查看發現沒有安裝殺毒軟件,迅速裝上“360安全衛士”,先把啟動項/系統進程的可疑文件禁止(也可以通過注冊表),然后通過“查殺惡意軟件”發現原來病毒是通過近期大名鼎鼎的高危險ANI鼠標指針漏洞植入的:)
3、安裝殺毒軟件徹底查殺病毒,如果安裝好卡巴斯基后發現圖標是灰色的,也就是說不能工作的時候,查看一下系統時間可以發現被更改為1966年了。其實就是病毒制造者在利用卡巴的這個漏洞把殺毒軟件干掉,以使自己滋生蔓延。
