[冲击波2]打造网盟最全的Logo1/ARP防御解决方案！

最近看到大家中Logo_1/ ARP的很多，看到好多网盟盟友求助的贴子。

所以想到开这个专题方便大家查询和一起讨论解决方案，

由于本人不在网吧工作了，测试环境有限

部分文章非原创，引用过来希望起到抛砖引玉的作用，自己多测试。

如果有觉得不妥之处希望大家指出，

但是不要骂人。最烦那些打着讨论技术的旗子来骂人的。

本人花了很多时间整出来的贴子。只是为了方便网盟的兄弟，不是给你开骂的。

----------------------------------------------------------------

Logo_1 也称 威金(Worm.Viking) 来自瑞星官方的病毒介绍

Worm.Viking

这是一个使用[Delphi]编写的感染型蠕虫病毒。

该病毒主要通过枚举局域网磁盘资源进行传播。

该病毒只感染可执行文件。把宿主文件包在病毒的尾部，并把自己的图标替换为从宿主文件资源中提取的图标。

被感染的文件运行时，先执行病毒代码，然后释放并运行正常文件。

1、病毒运行后会把自己复制到%WINDIR%中，并释放一个动态库。

2、修改以下注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
添加键值"Load"

Win.ini的Windows节的Load项

3、病毒运行后会感染盘符从Z到C的所有“本地磁盘”（DRIVE_FIXED），
被感染的文件夹里会有一个名为“_desktop.ini”的文件，里面的内容为当前时间。

4、病毒有结束反病毒软件的行为

(1)病毒会搜索并使用"TerminateProcess"结束以下进程
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe

(2)病毒会向窗口名为RavMon.exe且窗口类名为RavMonClass的窗口发送WM_CLOSE消息结束该窗口。

(3)该病毒对“卡巴斯基”的监控有专门的处理。
病毒会通过waveOutGetVolume关闭操作系统声音，
然后每100毫秒搜索一次“主动防御 警报”和“文件保护 警报”窗口。搜索“允许”按钮，模拟鼠标点击。
并向卡巴斯基的通知窗口(ClassName:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。
如果连续4次没有找到窗口，还原系统声音，函数退出。

5、病毒会三次向进程注入释放出的动态库。
病毒首先枚举文件名为IEXPLORE.EXE的进程如果找到则注入其中，否则枚举文件名为explorer.exe的进程如果找到则注入其中。

6、病毒释放出来的动态库是一个Downloader。
不同的变种下载地址不同。

特征:感染后在C盘windows文件夹内会有logo1_.exe文件.运行后 病毒体为 logo1_.exe kill.exe sws32.dll sws.dll rundl132.dll 等
修改注册表
病毒对注册表进行修改，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\system.ini\boot]winlogo 项和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
[HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/中添加键值=%System%（其中，和为可变的），使得在 下次
  系统启动时，病毒可随之自动运行。

中毒后.该病毒能迅速感染explorer.exe 等核心进程.
以及所有的.exe可执行程序...是彻底修改.而不是简单的修改文件关联...具体表现为.游戏图标变色.或变为空白..基本上说.中了这个病毒.就等于你要全部格式化硬盘了。
添加logo1_.exe进程.还有其他几个忘记名字了..

同时释放网游木马.包括 WOW.传奇.江湖.西游.还有....trojan.psw.lineage  

解决方法：

我查询了很多资料文章，其实现在都没有比较好的查杀方法 针对最新的变种。

部分杀毒软件还是查杀不出来的。推荐大家还是要以预防为主！

这是本贴的重点。防患于未然是最好的。不要等中招了在哭，到处找杀毒的

就是打补丁。在做好母盘时打上LOGO_补丁

专杀工具：http://it.rising.com.cn/Channels/Service/2006-07/1153119832d22607.shtml [“威金（Worm.Viking）”病毒专杀工具”]

LOGO_补丁：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"**delvals."=" "
"1"="0Sy.exe"
"2"="1.com"
"3"="1Sy.exe"
"4"="2Sy.exe"
"5"="3Sy.exe"
"6"="5Sy.exe"
"7"="exerouter.exe"
"8"="EXP10RER.com"
"9"="finders.com"
"10"="finders.com"
"11"="kill.exe"
"12"="Logo1_.exe"
"13"="rundl132.exe"
"15"="Shell.sys"
"18"="sws.dll"
"19"="sws32.dll"
"20"="tool.exe"
"21"="tool2005.exe"
"22"="tool2006.exe"
"23"="tools.exe"
"24"="vDll.dll"

办法2:自己建立以上病毒文件名的文件夹.复制到windows.运行以下脚本,另存外bat

echo > c:\windows\Logo1_.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\vDll.dll
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\rundll32.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\1.com
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll

attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h

还有必须打上一个系统补丁：运行windows的自动更新，

安装2006年7月19日的更新补丁：windows xp KB917537安全更新。

什么是ARP？

英文原义：Address Resolution Protocol

中文释义：（RFC-826）地址解析协议

局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址以保证通信的顺利进行。

注解：简单地说，ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包，即ARP请求，然后目标主机向该主机发送一个含有IP地址和MAC地址数据包，通过MAC地址两个主机就可以实现数据传输了。

应用：在安装了以太网网络适配器的计算机中都有专门的ARP缓存，包含一个或多个表，用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息，可以使用arp命令来完成，比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容；键入“arp -d IPaddress”表示删除指定的IP地址项（IPaddress表示IP地址）。arp命令的其他用法可以键入“arp /?”查看到。

网吧掉线除去硬件本身原因，一般有以下几种可能掉线：ARP欺骗，这个也是近一阵子发现最多的，也有局域网DDoS攻击，ICMP攻击，UDP洪水攻击

赛迪网有一个专题：ARP攻击与防范方案 推荐大家也看一下

解决方法：预防为主！

1. 双向绑定

最原始最有效的，不辅带外部软件就可以实现。有人说双绑还会掉外线，上不了网。

我们给双向绑定是这样定义的，不知你是否有全部做到了。

每台客户机的IP和MAC要绑定，网关的IP和MAC要绑定 路由里面要绑定所有机器IP/MAC

-----------------------------------------------------------

@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::
::     本机以及网关IP和MAC地址绑定批处理程序      ::
::   说明：此方法治标不治本，要想根本解决ARP请    ::
::   采用路由和本机实现双向绑定                    ::
::::::::::::::::::::::::::::::::::::::::::::::::::::
:::::::::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >c:\ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >c:\phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
:::::::::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >c:\IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
:::::::::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
:::::::::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >c:\GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
:::::::::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >c:\GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
:::::::::绑定网关Mac和IP
arp -s %GateIP% %GateMac%
exit

这个是绑定之后的效果图 static（静态的）dynamic(活动的)

显示static 就说明那条IP绑定成功

通过ARP-A 可以获取网关的MAC 然后编写一下批处理开机运行。绑定IP/MAC不要让主机刷新你设定好的转换表。
步骤：批处理文件arp.bat内容如下(假设192.168.1.2的mac地址是00-22-aa-00-22-aa)：
@echo off
arp -d
arp -s 192.168.1.2 00-22-aa-00-22-aa
.
.
.
arp -s 192.168.1.254 00-99-cc-00-99-cc
(所有的IP与相应MAC地址都按上面的格式写好)
将文件中的IP地址和MAC地址更改为您自己的网络IP地址和MAC地址即可。
将这个批处理软件拖到每一台主机的“windows--开始--程序--启动”中。这样每次开机时，都会刷新ARP表。

大部分硬件路由自带IP/MAC绑定功能，用软路由的方式比较多。不好一一解释。原理都一样的。绑定好IP/MAC。

2. 改文件 防止网络执法官/剪刀手等软件的运行。

2006-11/2006111517312954002.rar

将这里面3个dll文件复制到windows\system32 里面
将npf 这个文件复制到 windows\system32\drivers 里面
将这4个文件在安全属性里改成只读。也就是不允许任何人修改。

3. 设置本地ARP的缓存值(稍后详细补上)

4. 做ARP广播服务器(稍后详细补上)

   在代理服务器或路由网关上做好网关及所有IP+MAC的绑定，然后时时（一般要在1--3秒）向局域网广播该ARP表以覆盖当前客户机的动态ARP表，以保证当前客户机的ARP随时保持正确（原理呢就是ARP病毒附带软件你做执行操作的时间肯定会高于1秒吧）

也可以用外部工具。现成的软件

彩影网盾1.6商业版  这个是正式版为收费软件 dyyd破解

2006-11/2006111610554577047.rar

欣全向ARP工具
2006-11/200611161056026389.rar

P2P终结者防止arp攻击破解补丁

2006-11/2006111610562816513.rar 

这几个软件 很多人也反映不错。一并上传。

顶

顶一下！！强烈支持！！