ARP病毒查杀方法

特鲁伊木马病毒！
这种病毒怎么清除 特洛伊木马（Trojan horse）
完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1 在Winini中启动
在Winini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：
run=c:\windows\fileexe
load=c:\windows\fileexe
要小心了，这个fileexe很可能是木马哦。
2在Systemini中启动
Systemini位于Windows的安装目录下，其[boot]字段的shell=Explorerexe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorerexefileexe。注意这里的fileexe就是木马服务端程序!
另外，在System中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在Systemini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。
3利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。
4在Autoexecbat和Configsys中加载运行
请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexecbat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。
5在Winstartbat中启动
Winstartbat是一个特殊性丝毫不亚于Autoexecbat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Wincom并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexecbat的功能可以由Witartbat代替完成，因此木马完全可以像在Autoexecbat中那样被加载运行，危险由此而来。
6启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7INI
即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winintini中(用于安装较多)。
8修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为NotepadEXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的 "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPADEXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPADEXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLREXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIPCOM等都是木马的目标，要小心搂。
对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。
9捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
10反d端口型木马的主动连接方式
反d端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHEG(威金)和TROJ_CLAGGEB 特洛伊木马（Trojan horse）
的解决方案:
WORM_NUGACHEG(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADERIBZ
Terminating the Malware Program
This procedure terminates the running malware process
Open Windows Task Manager
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab
In the list of running programs, locate the process:
MSTCEXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer
To check if the malware process has been terminated, close Task Manager, and then open it again
Close Task Manager
NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes You can use a third party process viewer such as Process Explorer to terminate the malware process
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode
Editing the Registry
This malware modifies the computer's registry Users affected by this malware may need to modify or delete specific registry keys or entries For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 40
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup
If the registry entry below is not found, the malware may not have executed as of detection If so, proceed to the succeeding solution set
Open Registry Editor Click Start>Run, type REGEDIT, then press Enter
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstcexe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers
Users running other Windows versions can proceed with the succeeding solution set(s)
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHEG To do this, Trend Micro customers must download the latest virus pattern file and scan their computer Other Internet users can use HouseCall, the Trend Micro online virus scanner
Applying Patch
This malware exploits known vulnerability in Windows Download and install the fix patch supplied by Microsoft Refrain from using this product until the appropriate patch has been installed Trend Micro advises users to download critical patches upon release by vendors
TROJ_CLAGGEB 特洛伊木马（Trojan horse）
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program
Scan your computer with your Trend Micro antivirus product
NOTE the path and file name of all files detected as TROJ_CLAGGEB
Trend Micro customers need to download the latest virus pattern file before scanning their computer Other users can use Housecall, the Trend Micro online virus scanner
Editing the Registry
This malware modifies the computer's registry Users affected by this malware may need to modify or delete specific registry keys or entries For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 40
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor Click Start>Run, type REGEDIT, then press Enter
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}::ENABLED:0"
Close Registry Editor
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers
Users running other Windows versions can proceed with the succeeding solution set(s)
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGEB and TROJ_KEYLOGCO To do this, Trend Micro customers must download the latest virus pattern file and scan their computer Other Internet users can use HouseCall, the Trend Micro online virus scanner

方法
1扫描杀毒，清除ie缓存，cookies；
2如果不行，打开局域网内最临近的另一电脑，查看同局域网内的电脑是否出现同样状况；
3将所有的电脑断开连接，也就是拔掉网线；
4完全断电，拔掉电源线；
5用网络监听工具，看一下局域网内哪台主机的ARP包特多。利用ARP协议进行攻击一般会出现 MAC相同的用户，如果手中有MAC表那就可以对照着查找，一台一台处理；
6如果还不行，可以把所有网络里的电脑都直接从新做GHOST系统一遍就可以；
7如果是厉害的U盘病毒会继续潜伏在其他非系统磁盘里，重新做系统也没用，需要完全格式化，之后在重装系统。
诀窍
如果是厉害的病毒估计用国产杀毒软件是没办法的，而且通过注册表处理不但工作量巨大，而且效果也不一定好，最后也不会弄。 建议直接重新做系统，GHOST也可以。
手工查找感染ARP病毒的主机过于烦琐，可以使用网络监听工具。
局域网病毒防范方法：
1增加安全意识；
2小心邮件；
3挑选网络版杀毒软件。
提醒
局域网内请不要没装杀毒软件裸奔。
请勿浏览不健康的网站。
局域网病毒传播方式有以下几种：
1病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；
2病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；
3病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；
4如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。

其实只要是上网的机器它都有染上病毒的可能，只不过做为服务器来说，它本身的防护措施比较严密，不会轻易让病毒入侵或者说是入侵进来的病毒它会及时处理，不会影响它的工作．要不然做为提供服务的机器没这点防护性能都没有，它能提供什么效率的服务呢？所以说即便是你的机器没有病毒，服务器也有可能中．．

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为
-bash，按c查看详情，名称显示为python
十分可疑
杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了
查看/etc/cronhourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

crondaily cronweekly cronmonthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除

删除/opt/new目录时，发现此目录下还有一个/opt/md目录，内容如下
病毒运行原理是

其他常用的诊断命令

关联文章：
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复

参考文章：
PC样本分析记录最近与挖矿病毒的斗智斗勇
PC样本分析记录最近与挖矿病毒的斗智斗勇(二)

除了可以用防火墙和杀毒软件来防杀邮件病毒外，还可以用以下方式配合来减少邮件病毒的危害：


1、设定邮件的路径在C盘以外，因为C分区是病毒攻击频率最高的地方，万一受到防火墙不能过滤的新型病毒攻击，受到的损失也可减少。


2、收到新邮件尽量使用“另存为”选项为邮件做备份（注意分类储存，不要在同一根目录下放全部的邮件）此时还可以趁机为邮件起一个更为一目了然的名字，既是备份，又方便管理查阅，一举两得。


3、尽量在“通讯簿”不要设置太多的名单，如果要发送新邮件，可以进入邮件的储存目录，打开客户的发来的邮件，利用“回复”功能来发送新邮件（删除原有内容即可）；如果客户或朋友较多，利用回复不方便，可以新建一个文本文件（自己做好备份，记得路径及名称)，把客户的邮件地址一一列入其中，要发新邮件的时候，利用CTRL+C, CTRL+V把客户邮件地址粘贴到“收件人”栏中去——这样虽然麻烦一点，但是有效地防止了邮件病毒的进一步传播，须知现在的邮件病毒变种更新既多又快，防杀难免有漏洞，病毒一发作，就自动复制无数拷贝发送到“通讯簿”里所有的用户。

用此法可以避免病毒的扩散，特别是有商业关系的客户不会因此受到牵连，发生误会从而影响合作关系。此法还可起到保密客户的作用，因为名单文本的目录和名称只有本机主人才知道。


4、遇到带可执行文件（EXE, COM）或带有宏功能的附件（DOC等），不要选打开，最好先选择为“另存为”到磁盘上，用杀毒软件先查杀，这是共识了。

你怎么在普通机器上安装
就怎么在服务器上安装
但具体要看服务器系统和服务器的用途
如果是Windows Server的系统
那尽量用一些稳妥的杀毒软件，因为杀毒软件误报是一个必须考虑的问题
查杀太强力反倒可能引起不必要的数据丢失
Symantec、McAfee的同名服务器版或者微软的ForeFront都有服务器版本的，性能还是没问题的
如果是Unix/Linux的服务器
那杀毒软件就不是为了保护系统
而仅仅为了扫描服务器中的数据而使用的
这个就无所谓了
免费的有avira、ClamAV、avast～都有Linux版本
ESET NOD32刚出了测试版，不是很稳定，应该也是免费的
Kaspersky的是收费版的，还挺贵的呢～
您自己斟酌吧～
不必太在乎监控
Unix/Linux服务器的安全威胁更多的来源于黑客的直接入侵
把硬件防火墙配好才是王道
杀毒软件就是扫描下数据中有没有Windows病毒，以防这些病毒感染链接服务器的Windows平台客户端。服务器本身不会受任何影响的～

---