零距离查杀Downloader恶劣木马

在企业网络维护过程中，病毒是最让网络管理员头疼的敌人，特别是在现今病毒更趋向于网络化发展的情况下，查杀网络病毒的任务将变得更加艰巨。很多时候企业网络中有一台计算机感染了病毒，他会影响到包括服务器在内所有网络设备的正常上网。最近笔者就深深陷入Downloader木马的圈套中，下面就将整个查杀步骤和过程全盘托出，希望对各位IT168的读者有所帮助。

一，病毒爆发：

笔者负责维护区级核心层网络设备，然而最近来自下属一个部门的网络求救电话越来越多，经过笔者了解具体症状如下——该部门各个计算机由交换机连接到一起，总共有80台员工计算机。出现问题时有些计算机无法访问企业的内部网站和邮件系统，而同一时间该部门的有些计算机又可以顺利访问，笔者又咨询了其他分支机构，员工并没有出现任务访问故障问题。

然而于此同时还有一种奇怪的现象，那就是出问题的员工计算机并不是一直无法正常使用，过几个小时后就又一切正常了。而且出现问题时只是内部服务器上的应用服务无法浏览，像sohu搜狐，新浪，IT168等大型门户网站还是可以顺利访问的。

二，初步排查：

首先针对服务器进行检测，由于不可能同时所有服务器都出现问题，而且其他分支机构，包括笔者用自己的机器测试都没有任何问题。所以初步排除了因为企业内部服务器故障造成的网络问题。这样就将怀疑的重点放到了分支机构的网络中。由于出问题的计算机并不是只有一两台，而且出问题计算机存在不确定性，即今天这台出问题，明天那台又出问题了。这让笔者不得不将怀疑的重点放到了病毒身上。

为了确定笔者的判断在一台计算机上安装了卡巴斯基最新版并升级了病毒库，当用浏览器访问网页时卡巴斯基提示有病毒，这种问题不光是在访问内部服务器上的应用时出现，访问IT168，搜狐以及百度这些在之前看似正常的网站时也会出现这种病毒警报。病毒警报提示当前页面存在trojan program trojan-downloader.js.psyme.kf病毒，这是一种木马病毒。(如图1)

　　图1

那么为什么这些好好的页面会出现病毒提示信息呢?我们总不能怀疑IT168和百度都被别人挂了木马，而且用其他网段的计算机访问并不会出现报警现象。那么答案只有一个——感染了病毒，根据笔者经验以及在网上查询得知，这就是目前流行的ARP欺骗病毒。笔者再次访问企业内部服务，得到的提示是一样的，看来所有问题和故障都是由这个trojan program trojan-downloader.js.psyme.kf病毒带来的。(如图2)

图2

为了进一步验证笔者的猜想，本人通过在企业内部应用服务器上点右键选择源代码，结果不看不知道一看吓一跳，在出现问题无法顺利访问企业应用服务器时原来是首页被人加上了一行名为 的脚本程序，看来这个就是造成企业服务无法顺利访问以及ARP病毒广泛流传的根源了。(如图3)

三，深入检测解决问题：

一般来说ARP欺骗病毒都是不停的发送ARP广播报，告诉网络中的所有计算机网关地址对应的MAC是感染ARP欺骗病毒计算机的MAC地址，这样所有机器上网时都会将数据请求发送到出问题的计算机。通过这一系列的步骤感染病毒的计算机可以进行数据欺骗，病毒传播等目的。

既然知道了本次故障的罪魁祸首有可能是ARP欺骗，那么网络中一定有一台感染了病毒的机器再捣乱，为了找到这台机器笔者进行了如下的检测操作。

第一步：首先在通过开始->运行，输入CMD进入到命令提示窗口，在该窗口中通过ipconfig命令查看当前IP，网关等信息，明确这些地址，特别是网关为10.82.5.254。(如图4)

　　图4

第二步：打开网络管理员专用的sniffer工具，检测本地网络中的数据包，可以设置为只扫描和监控出问题计算机的流量，通过sniffer绘制出的流量图我们可以看出本机和哪个机器进行了数据通讯。(如图5)

　　图5

第三步：由于卡巴斯基提示病毒只是在访问办公系统时出现，所以我们边开着Sniffer，边用IE浏览器访问办公系统，当卡巴斯基报警时相应的非法流量也会显示在sniffer的流量图中，使用时注意观察即可，当有数据传输时线条是显示为闪亮状态的。(如图6)

　　图6