发现局域网arp病毒-winrsc.exe及处理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
近日,发现一个局域网arp木马病毒
我所遇到的病毒引发的症状:
1.中毒机器无法访问网络,包括公司OA、FTP等,但是使用ping命令一切正常
2.中毒的机器一体机驱动被破坏,并无法重新安装打印机、一体机驱动
3.中毒的机器的注册表编辑器和任务管理器被禁用
4.生成隐藏的系统属性文件,分别是C:\Windows\system\winrsc.exe;
C:\Windows\system32\drivers\sysdrv32.sys
5.局域网局部或者全部不能访问网络,我遇到的幸好只有部分几台无法访问网络
6.winrsc.exe会开启445端口,对局域网网段内所有地址遍历发送远程连接请求,估
计如果连接建立后,就会发动攻击,另外,估计一个网段完了后会遍历到下一个网
段,如图
另外,在网上查了下,此病毒可能还引起一些症状:经常死机;生成隐藏文件C:\Windows\system\svhost.exe(注意文件修改日期),描述的这个文件的功能跟winrsc.exe一样,并在注册表中创建相关启动项;系统文件夹下,生成一个或多个??.scr 文件(注:“.scr”一般为屏幕保护程序文件),其中“??”为两位数字(我遇到的情况也包含这)
处理方法:
重启,安全模式,用administrator登陆,因病毒只禁用当时登录用户的注册表和任务管理器,所以administrator用户里可以打开注册表。因开机就会出现症状,故启动项里肯定有,进入,果然,表项“Windows System Monitor”,键值“C:\windows\system\winrsc.exe”,二话不说,删了。再搜索一下其他地方,发现真有,
HKLM\system\controlset001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\A uthorizedApplications\List 下,
表项“C:\windows\system\winrsc.exe”,
键值“C:\windows\system\winrsc.exe:*:Microsoft Enabled”,
表项“C:\windows\system32\??.scr”(其中“??”为两位数字,这个表项可能有多个)
键值“C:\windows\system32\??.scr:*:Microsoft Enabled”,
HKLM\system\controlset002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile \AuthorizedApplications\List 下,
表项“C:\windows\system\winrsc.exe”,
键值“C:\windows\system\winrsc.exe:*:Microsoft Enabled”,其他跟上面一样,也有??.scr 的相关表项
HKLM\system\controlset003\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile \AuthorizedApplications\List 下,
表项“C:\windows\system\winrsc.exe”,
键值“C:\windows\system\winrsc.exe:*:Microsoft Enabled”,其他跟上面一样,也有??.scr 的相关表项
把这些都删了,不要留情。
然后到C:\windows\system\ 下,将winrsc.exe彻底删除;
C:\Windows\system32\ 下,将??.scr都删除
C:\Windows\system32\drivers\ 下如果之前没杀过毒,有sysdrv32.sys 的话,彻底删了,如果杀过这个文件,可能这里面就没这个文件了
重启,再恢复一下注册表编辑器和任务管理器
附:恢复注册表编辑器和任务管理器的小东西
补充:病毒是删了,可使用普通用户登录电脑后,注册表编辑器和任务管理器还是被禁用状态,就需要恢复注册表编辑器和任务管理器,有需要的可以联系我。恢复后,还需在普通用户下打开注册表,关于当前用户的注册表项中有一项也是此病毒创建的,也需删除,HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache 下,表项:“C:\Windows\system\winrsc.exe”,键值:winrsc ,将此项也删了!
另外,此病毒还引起一症状,其他电脑通过“网上邻居”→“查看工作组计算机”能看到中毒机器,却访问不了中毒机器。
在中毒机器上,Guest用户已打开、已经设置同一工作组、IPX\SPX\NEIBIOS 协议也已安装、组策略中“从网络访问这台计算机”已经添加Guest用户组并且“拒绝从网络访问这台计算机”没有Guest用户和组,然而却还是访问不了。
解决方法:恢复了注册表编辑器后,打开注册表,定位到“HKLM\SYSTEM\CurrentControlSet\Control\Lsa”中,右边表项:“restrictanonymous”,将键值改成0 ,重启,即可
补充2:注册表中查找到sysdrv32的一个分支,也需要删掉,可以用查找输入sysdrv32.sys 进行查找。一般在HKLM\system\controlset001\services\sysdrv32 、HKLM\system\controlset002\services\ sysdrv32 、HKLM\system\controlset003\services\ sysdrv32 把这几个分支整个都删了。
补充3:此病毒遍历IP地址,在建立连接的机器上都会复制并运行病毒程序,于是只要有一台没有清除掉,那局域网其他机器都存在隐患,所以得让所有机器都能预防。预防措施,打开组策略编辑器,创建并指派阻止任意地址通过TCP协议、任意端口经过本地地址445端口入站的策略,因为我一开始试着阻止了UDP协议,可是那机器还是没防住,所以,这病毒应该是运用TCP协议入侵的。指派了策略之后,暂时还没发现有问题。