讀者 鄭斌:在該網站下載了一個小游戲,沒想到運行後莫名其妙安裝了一大堆惡意插件、病毒。現在打開任何網頁都會事先連接這個6658588.cn下載最新病毒。
讀者 李清:真希望殺毒軟件和防火牆能增加有ARP攻擊防御功能,每次都被ARP欺騙什麼時候才是個頭?
上周突然出現了一個名為www.6658588.cn的惡意網站,僅一周時間就已全面爆發,各大安全論壇布滿了關於它的求救帖,我們也收到多達1647位讀者的舉報郵件。
在測試時我們發現,該站用403錯誤作為首頁以掩人耳目,但根目錄中的ad.jpg、0614.js二級目錄中的123.htm嵌有惡意代碼。分析樣本後確認這是一個聯合ANI光標蠕蟲和ARP欺騙攻擊的惡意網站。
病毒將局域網內所有網址請求先轉發至指定的病毒頁面上,再迅速跳轉至真正要訪問的網站,由此導致整個內網用戶打開任何頁面均報毒的情況。進一步查其域名、注冊信息,顯示該站於6月19日在萬網注冊。看來目的非常明確,專為施放惡意代碼而建。鑒於危害的嚴重性,已將它的信息反饋給萬網請求協助查封。
已受感染的用戶可嘗試以下方法清理:
1.在路由器(局域網用戶)或IE受限制站點中屏蔽此站。Tw.WingwIt.cOm
2.安裝Windows系統補丁,特別是MS07-17。
3.使用“Anti Arp Sniffer”(http://www.cpcw.com/bzsoft/)等ARP防御軟件查出網內攻擊源。
4.斷開中毒電腦的網絡連接,進入安全模式用殺毒軟件對它進行徹底查殺。
From:http://tw.wingwit.com/Article/Network/201309/416.html