近期互联网中传播蔓延着一些病毒,经过取样脱壳鉴定为盗号木马(专门盗取QQ、DNF、魔兽世界等游戏账号)。该病毒通过ARP劫持客户机通讯后(主要劫持svchost.exe和计费软件客户端),局域网共享传播。并且有主动监测功能和反向链接功能,其危害极大,请广大技术人员做好防御措施,当Pubwin收费管理系统遭到该病毒攻击后表现为:
1、 控制台、客户端与服务ping不通或掉6个PING包
2、 Pubwin客户端提示:“监测到有恶意防火墙”
3、 客户端结账不锁屏
4、 会员不能自助结账
解决方法如下:
1、 在路由器禁止病毒连接的IP:
183.60.132.80
222.73.66.21
222.187.220.173
183.60.204.126
2、 局域网内全部机器查杀病毒
3、 交换机有绑定功能的用户,全场绑定端口、IP、MAC地址(主、分交换都要绑定)以阻止病毒的ARP欺骗攻击
4、 交换机无绑定功能的用户,请在客户端开启网吧维护软件的驱动防火墙相关功能也能有效拦截病毒的运行
5、 禁止Windos系统的 server共享服务,注意:单独禁止客户端的server服务和从本地连接中卸载“网络文件和打印共享服务”,病毒会自动安装、开启该服务;如果通过组策略的端口屏蔽策略也有一定局限性,组策略依赖ipsec服务,只要该服务被禁止,策略会失效;所以需要在卸载“网络文件和打印共享服务”后(卸载方法见截图),还需要在注册表中锁死LanManServer项的权限,以彻底关闭共享功能,禁止权限和删除LanManServer下子项的截图如下:
本文来源:PUBWIN官方论坛
评论列表: