utt 发表于 2009-11-7 01:14:07

IGM病毒的快速诊断和解决方法

IGM病毒的快速诊断和解决方法
关键字: IGM病毒 业务策略 防火墙—访问控制策略IGM.EXE病毒是近日所发现的一个正在大范围传播的病毒,很多网吧已经深受其害;该病毒主要通过IE下载其他病毒,感染可执行文件、盗取QQ、游戏帐号密码等等。该病毒从2007年10月起开始流行,病毒发作时,非常消耗局域网和接入设备的资源,造成用户上网变得很慢或者不能上网。下面就来介绍一下,怎样通过 HiPER 安全网关快速诊断局域网内电脑感染了这种病毒,以及怎样设置安全策略防止这种病毒对用户上网造成的影响。
【故障现象】
这个是一个下载类的病毒,中了它并不可怕,但是igm.exe会下载更多的病毒,导致电脑出现不同的症状。这个病毒的主要表现是在:
1、系统进程中有igm.exe进程。
2、MSconfig的启动项里有IGM.EXE 。
3、磁盘主目录中有auto.exe和autorun.inf。
4、大量占用网络资源,网速奇卡,造成拥塞导致掉线。
5、IE、QQ等应用程序打开后就自动关闭。
6、CPU使用率100%,多出N多可疑进程,例如:.execmd.exe23.exe……
7、最新出的变种,替换C盘的userinit.exe,大家都知道网吧里都有还原装置,要么是冰点,要么是还原卡,可是这个病毒类似机器狗,穿透还原,更改userinit.exe。
如果发现有以上的症状,那么可以判定您中了igm.exe病毒。该病毒利用MAC地址欺骗进行局域网传播,中毒的电脑劫持路由,修改MAC、IP,并不停的向局域网机器发MAC欺骗包。大量的数据包将导致局域网通讯拥塞,用户会感觉上网速度越来越慢,掉线;甚至无法上网,同时造成整个局域网的不稳定。拦截局域网用户打开的网页。自动加载病毒网页,并从上面的网站下载木马盗号器,然后打开的网页会自动关闭。
【运行原理】
通过一些问题网站下载机器狗病毒。 机器狗病毒通过磁盘驱动,穿透还原替换原userinit.exe,(替换后userinit.exe就是个木马下载器也就是通过它下载的IGM.exe)在中毒机器重起后开机后系统会自动启动userinit.exe文件这时候下载各种木马包括IGM.exe.
这个ARP病毒主要在做两面欺骗,一面是欺骗客户机说路由的MAC地址改变,另一面是在欺骗路由器,说以下IP地址的MAC地址是多少多少,然后中毒机器再伪装成路由器。当客户机发送到路由器的数据同时也发往了中毒机器,当路由器往客户机发数据时,就直接发到了中毒的机器,然后由中毒的机器转发到其他的客户机。在数据经过中毒机器时,并不是向路由器那样直接做策略判断然后就转发了,而是分析数据包然后向数据包里插入上面提到到的恶意网页连接,从而达到通过IE下载病毒并运行病毒的目的。这类分析对HTTS等加密数据包似乎无效。但值得注意的是,越是性能优越的计算机与性能优越的网络,这样的病毒得逞的几率就越大,因为优越的计算机性能,会给病毒在在数据包的分析、插入、修改、转发操作上提供更快的处理速度,这时ping内网到路由器的延迟大概在5ms以下,正常的网络会小于1ms,如果PC的性能很差,当遇到大的数据涌过来时,就会导致掉线,甚至自己死机,这时的性能下降到比路由还差,给路由广播创造了良好的环境得以纠正错误的MAC地址。
【HiPER上的快速查找】
从HiPER的WebUI--上网监控的“外网地址”中可以看到有内网主机和以下的IP地址发生连接,相关网站及IP地址:
www.94ak.com      58.211.79.98   
t.11se.com      221.130.191.207
www.99mmm.com   219.153.42.98
www.44ccc.com   219.153.42.98
www.77bbb.com   219.153.42.98
3.77bbb.com      218.83.175.154
ask.35832.com   218.83.175.154
www.35832.com   218.83.175.154
www.15197.com   218.83.175.154
www.91ni.com      61.152.101.128
www.161816.com    60.190.114.95

【VSTART版本及之前HiPER路由器解决办法】
1、将中毒主机断网杀毒。
2、在路由器和PC上作双向绑定,防止ARP欺骗产生的问题。双向绑定是客户计算机绑定网关设备的MAC地址与IP地址对应关系,并在路由上绑定所有客户机的MAC地址与IP地址对应关系。
1)路由器上的绑定:
/userfiles/image/034.GIF
2)客户计算机上的绑定
客户可以将“导出ARP绑定脚本文件”中的BAT文件直接放置每台PC的启动选项中即可。
/userfiles/image/035.GIF
3、艾泰路由器可以在艾泰设备的“高级配置”-“业务管理”中,采用URL过滤或IP过滤的方法,防止中毒主机上网下载其他病毒。
1)假设用户户局域网段为 192.168.0.0/24,在WebUI--高级配置--组管理作如下配置(用户应该根据实际使用的 IP地址段进行组 IP地址段指定):
/userfiles/image/036.GIF
2)WebUI--高级配置--业务管理--业务策略配置,建立url过滤策略“f_1”(可以自定义名称),屏蔽目的地址为www.94ak.com的域名,按照下图进行配置,保存。
/userfiles/image/037.GIF
3)WebUI--高级配置--业务管理--业务策略列表中,可以查看到上一步建立的“f_1”的策略(“dns”、“dhcp”为系统自动生成的允许 dns 和 dhcp 数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许” 。
/userfiles/image/038.GIF
4)在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止” 编辑为“ 允许”,保存。
/userfiles/image/039.GIF
5)重复步骤 2),将其他病毒链接URL和IP 等关闭(网站域名详见上文提到的相关网站)。
/userfiles/image/040.GIF

/userfiles/image/041.GIF
6)WebUI--高级配置-业务管理-全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。
/userfiles/image/042.GIF
3、 注意:
1) 配置之前不能有命令生成的业务管理策略存在,否则可能导致 Web 界面生成的业务管理策略工作异常或者不生效。
2) 如果,已经有工作组存在,并且在业务管理中配置了策略,必须在 WebUI 高级配置-组管理中,将该网段所有用户分配在相关的组中,然后在 WebUI-高级配置-业务管理中将每个组的外网相关病毒链接url或IP地址设为禁止访问。
【ReOS2008软件版本HiPER路由器解决办法】
艾泰路由器可以在艾泰设备的“防火墙”中,配置访问控制策略禁止下列域名和IP抵制,防止中毒主机上网下载其他病毒。
www.94ak.com      58.211.79.98   
t.11se.com      221.130.191.207
www.99mmm.com   219.153.42.98
www.44ccc.com   219.153.42.98
www.77bbb.com   219.153.42.98
3.77bbb.com      218.83.175.154
ask.35832.com   218.83.175.154
www.35832.com   218.83.175.154
www.15197.com   218.83.175.154
www.91ni.com      61.152.101.128
www.161816.com    60.190.114.95
1)假设用户户局域网段为 192.168.0.0/24,10.10.10.1/24两个网段,在WebUI—防火墙—地址组作如下配置(用户应该根据实际使用的 IP地址段进行组 IP地址段指定):
/userfiles/image/043.GIF
2)WebUI—服务组做如下配置,建立机器狗病毒的网站服务组。保存。
/userfiles/image/044.GIF
3)WebUI—地址组做如下配置,建立机器狗病毒的IP地址组。保存。
/userfiles/image/045.GIF

4) WebUI-防火墙-访问控制策略建立两条策略。
A、 禁止访问机器狗病毒的链接网站www.94ak.com、t.11se.com等。
/userfiles/image/046.GIF
B、禁止访问机器狗病毒的链接外网IP。
/userfiles/image/047.GIF
5)WebUI—防火墙—访问控制策略-全局配置中,选中“启用访问控制策略”,保存。
/userfiles/image/048.GIF

【PC上的解决办法】
把下面代码保存成批处理通过启动项自动加载,可以PC防止感染病毒后对本机和内网其他用户产生影响。
md %windir%\IGM.exe
md %windir%\IG.exe
md %windir%\IGW.exe
md %windir%\AVPSrv.exe
md %windir%\DiskMan32.exe
md %windir%\Kvsc3.exe
md %windir%\lqvytv.exe
md %windir%\MsIMMs32.exe
md %windir%\system32\racvsvc.exe
md %windir%\system32\drivers\svchost.exe
md %windir%\cmdbcs.exe
md %windir%\dbghlp32.exe
md %windir%\nvdispdrv.exe
md %windir%\upxdnd.exe
md %Temp%\QQSC.exe
md %Temp%\close.exe
md %Temp%\tomons.exe
md "%ProgramFiles%\1.exe"
md "%ProgramFiles%\2.exe"
md "%ProgramFiles%\3.exe"
md "%ProgramFiles%\4.exe"
md "%ProgramFiles%\4.exe"
md "%ProgramFiles%\6.exe"
md "%ProgramFiles%\7.exe"
md "%ProgramFiles%\8.exe"
md "%ProgramFiles%\9.exe"
md "%ProgramFiles%\10.exe"
md "%ProgramFiles%\11.exe"
md "%ProgramFiles%\12.exe"
md "%ProgramFiles%\13.exe"
md "%ProgramFiles%\14.exe"
md "%ProgramFiles%\15.exe"
md "%ProgramFiles%\16.exe"
md "%ProgramFiles%\17.exe"
md "%ProgramFiles%\18.exe"
md "%ProgramFiles%\19.exe"
md "%ProgramFiles%\20.exe"
md "%ProgramFiles%\21.exe"
md "%ProgramFiles%\22.exe"
md "%ProgramFiles%\23.exe"
md "%ProgramFiles%\24.exe"
md "%ProgramFiles%\25.exe"
md "%ProgramFiles%\26.exe"
md "%ProgramFiles%\27.exe"
md "%ProgramFiles%\28.exe"
md "%ProgramFiles%\29.exe"
md "%ProgramFiles%\30.exe"
ATTRIB +R +H +S %windir%\IGM.exe
ATTRIB +R +H +S %windir%\IG.exe
ATTRIB +R +H +S %windir%\IGW.exe
ATTRIB +R +H +S %windir%\system32\racvsvc.exe
ATTRIB +R +H +S %windir%\system32\drivers\svchost.exe
ATTRIB +R +H +S %windir%\cmdbcs.exe
ATTRIB +R +H +S %windir%\dbghlp32.exe
ATTRIB +R +H +S %windir%\nvdispdrv.exe
ATTRIB +R +H +S %windir%\upxdnd.exe
ATTRIB +R +H +S %windir%\AVPSrv.exe
ATTRIB +R +H +S %windir%\DiskMan32.exe
ATTRIB +R +H +S %windir%\Kvsc3.exe
ATTRIB +R +H +S %windir%\lqvytv.exe
ATTRIB +R +H +S %windir%\MsIMMs32.exe
ATTRIB +R +H +S %Temp%\QQSC.exe
ATTRIB +R +H +S %Temp%\close.exe
ATTRIB +R +H +S %Temp%\tomons.exe
ATTRIB +R +H +S "%ProgramFiles%\1.exe"
ATTRIB +R +H +S "%ProgramFiles%\2.exe"
ATTRIB +R +H +S "%ProgramFiles%\3.exe"
ATTRIB +R +H +S "%ProgramFiles%\4.exe"
ATTRIB +R +H +S "%ProgramFiles%\4.exe"
ATTRIB +R +H +S "%ProgramFiles%\6.exe"
ATTRIB +R +H +S "%ProgramFiles%\7.exe"
ATTRIB +R +H +S "%ProgramFiles%\8.exe"
ATTRIB +R +H +S "%ProgramFiles%\9.exe"
ATTRIB +R +H +S "%ProgramFiles%\10.exe"
ATTRIB +R +H +S "%ProgramFiles%\11.exe"
ATTRIB +R +H +S "%ProgramFiles%\12.exe"
ATTRIB +R +H +S "%ProgramFiles%\13.exe"
ATTRIB +R +H +S "%ProgramFiles%\14.exe"
ATTRIB +R +H +S "%ProgramFiles%\15.exe"
ATTRIB +R +H +S "%ProgramFiles%\16.exe"
ATTRIB +R +H +S "%ProgramFiles%\17.exe"
ATTRIB +R +H +S "%ProgramFiles%\18.exe"
ATTRIB +R +H +S "%ProgramFiles%\19.exe"
ATTRIB +R +H +S "%ProgramFiles%\20.exe"
ATTRIB +R +H +S "%ProgramFiles%\21.exe"
ATTRIB +R +H +S "%ProgramFiles%\22.exe"
ATTRIB +R +H +S "%ProgramFiles%\23.exe"
ATTRIB +R +H +S "%ProgramFiles%\24.exe"
ATTRIB +R +H +S "%ProgramFiles%\25.exe"
ATTRIB +R +H +S "%ProgramFiles%\26.exe"
ATTRIB +R +H +S "%ProgramFiles%\27.exe"
ATTRIB +R +H +S "%ProgramFiles%\28.exe"
ATTRIB +R +H +S "%ProgramFiles%\29.exe"
ATTRIB +R +H +S "%ProgramFiles%\30.exe"
echo y| CACLS %windir%\IGM.exe /d everyone
echo y| CACLS %windir%\IG.exe /d everyone
echo y| CACLS %windir%\IGW.exe /d everyone
echo y| CACLS %windir%\system32\racvsvc.exe /d everyone
echo y| CACLS %windir%\system32\drivers\svchost.exe /d everyone
echo y| CACLS %windir%\cmdbcs.exe /d everyone
echo y| CACLS %windir%\dbghlp32.exe /d everyone
echo y| CACLS %windir%\nvdispdrv.exe /d everyone
echo y| CACLS %windir%\upxdnd.exe /d everyone
echo y| CACLS %windir%\AVPSrv.exe /d everyone
echo y| CACLS %windir%\DiskMan32.exe /d everyone
echo y| CACLS %windir%\Kvsc3.exe /d everyone
echo y| CACLS %windir%\lqvytv.exe /d everyone
echo y| CACLS %windir%\MsIMMs32.exe /d everyone
echo y| CACLS %Temp%\QQSC.exe /d everyone
echo y| CACLS %Temp%\close.exe /d everyone
echo y| CACLS %Temp%\tomons.exe /d everyone
echo y| CACLS "%ProgramFiles%\1.exe" /d everyone
echo y| CACLS "%ProgramFiles%\2.exe" /d everyone
echo y| CACLS "%ProgramFiles%\3.exe" /d everyone
echo y| CACLS "%ProgramFiles%\4.exe" /d everyone
echo y| CACLS "%ProgramFiles%\4.exe" /d everyone
echo y| CACLS "%ProgramFiles%\6.exe" /d everyone
echo y| CACLS "%ProgramFiles%\7.exe" /d everyone
echo y| CACLS "%ProgramFiles%\8.exe" /d everyone
echo y| CACLS "%ProgramFiles%\9.exe" /d everyone
echo y| CACLS "%ProgramFiles%\10.exe" /d everyone
echo y| CACLS "%ProgramFiles%\11.exe" /d everyone
echo y| CACLS "%ProgramFiles%\12.exe" /d everyone
echo y| CACLS "%ProgramFiles%\13.exe" /d everyone
echo y| CACLS "%ProgramFiles%\14.exe" /d everyone
echo y| CACLS "%ProgramFiles%\15.exe" /d everyone
echo y| CACLS "%ProgramFiles%\16.exe" /d everyone
echo y| CACLS "%ProgramFiles%\17.exe" /d everyone
echo y| CACLS "%ProgramFiles%\18.exe" /d everyone
echo y| CACLS "%ProgramFiles%\19.exe" /d everyone
echo y| CACLS "%ProgramFiles%\20.exe" /d everyone
echo y| CACLS "%ProgramFiles%\21.exe" /d everyone
echo y| CACLS "%ProgramFiles%\22.exe" /d everyone
echo y| CACLS "%ProgramFiles%\23.exe" /d everyone
echo y| CACLS "%ProgramFiles%\24.exe" /d everyone
echo y| CACLS "%ProgramFiles%\25.exe" /d everyone
echo y| CACLS "%ProgramFiles%\26.exe" /d everyone
echo y| CACLS "%ProgramFiles%\27.exe" /d everyone
echo y| CACLS "%ProgramFiles%\28.exe" /d everyone
echo y| CACLS "%ProgramFiles%\29.exe" /d everyone
echo y| CACLS "%ProgramFiles%\30.exe" /d everyone
echo y| CACLS "e:\30.exe" /d everyone
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.exe" /v debugger /t reg_sz /d debugfile.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGw.exe" /v debugger /t reg_sz /d debugfile.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IG.exe" /v debugger /t reg_sz /d debugfile.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQSC.exe" /v debugger /t reg_sz /d debugfile.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Kvsc3.exe" /v debugger /t reg_sz /d debugfile.exe /f
taskkill /im IGM.exe /f
taskkill /im IG.exe /f
taskkill /im IGW.exe /f

jianchi3a 发表于 2009-11-7 10:15:11

谢谢楼主啊,让大家免受其害
页: [1]
查看完整版本: IGM病毒的快速诊断和解决方法