五、解决问题——Sniffer出山找源头

虽然确定了本次网络故障是由病毒引起,但是笔者一直有一个疑惑,那就是各个机器的安全级别都很高,平时都是由我们专业人员负责维护,自动打各种漏洞补丁的,那么为什么还会有这么多的计算机感染了该木马病毒呢?另外我们也针对这些故障机器进行了查杀病毒操作,卡巴斯基并没有找到对应的染毒文件。种种迹象都表明病毒未必都在这些故障机器的系统中。

这时有一个念头出现在笔者的脑海中,记得以前曾经应对和解决过ARP欺骗病毒,只要网络中有一台机器感染了ARP病毒,那么几乎这个网段的所有机器都无法上网或者访问网络时断时续。那么这次的木马trojan program trojan-downloader.js.agent.lg病毒的感染与攻击机理是否相同呢?为了证实此想法笔者拿出了看家工具——sniffer来扫描整个网段,看看是否有机器在发送或接收可疑数据包。

(1)扫描网络:

安装Sniffer针对出问题的网段进行扫描,笔者发现MAC地址为000BDBC2F6C5的机器频繁发送广播数据包,数量比较大。(如图4)

图4

将MAC地址切换到IP信息后笔者发现这台可疑机器的IP地址为10.82.4.89,另外从扫描的图表中我们看到了10.82.4.89这台计算机不光频繁发送广播包,还发送了基于239.255.255.250地址的组播包,这在我们平时各种服务和应用中更是少见,这点增加了他的可疑性。(如图5)

图5

为了确定笔者的想法本人通过sniffer只针对该一台机器进行扫描,并且在扫描的同时通过网络来访问之前出现问题的两台服务器应用,结果发现只要笔者在浏览器中输入地址访问办公邮件系统或信息平台,回车后10.82.4.89这台机器就马上发送数据到239.255.255.250地址,进行组播数据传输。看来这台机器是罪魁祸首的可能性已经超过百分之八十。(如图6)

图6


共4页: 上一页1234下一页

相关内容