遭遇最新版灰鸽子

道高一尺，魔高一丈。病毒与杀毒总是相互较量着，今年八月感觉病毒的技术进步更快，真是忙的眼睛都花了。记得有部关于吸血僵尸的故事，吸血僵尸的可怕就在于它咬到人，人就成了吸血僵尸；同时它能不断的进步，进步的速度超越人的想象。病毒也是如此。


在开始时，我根本就没有想到是通过灰鸽子的攻击。一个办公室的计算机网络时断时好，时间很短，坏的频率不高。


一开始我怀疑可能是arp欺骗攻击，但是一直找不到作怪的计算机，也不能确定。常常是我去一台不能连服务器的电脑，他能ping通自己办公室的计算机，但是不能ping通服务器的地址。不能ping通网关的地址，查看arp记录网关对应Physical Address为00-0d-54-29-bc-80。用arp -d *清楚arp记录，然后就能ping通网关的地址（这台计算机网络恢复正常），查看arp记录网关对应Physical Address依旧为00-0d-54-29-bc-80，想不通。


由于网络坏的频率不高，常常能自己恢复正常，就没有抓包分析。（没有笔记本，不同网段抓包分析不太方便，大家有什么好办法吗？）

事情是一天，该办公室网络坏的频率高了一点点，查看arp记录发现网关对应Physical Address是个陌生的值，哈哈终于找到作怪的计算机了。有意思的是该计算机从来没有断过网。该计算机没有病毒，使用该计算机的人水平不可能达到arp欺骗攻击。（使用netstat -an查看、arp查看该计算机连接的计算机很少，这个有点奇怪）。随后无意中发现C:\WINDOWS目录中有svchost.exe文件，这个文件正常应该在C:\WINDOWS\SYSTEM32的，于是dir svchost.* /a，晕了典型的灰鸽子特征。这个灰鸽子太强了，HijackThis、SREng都没有他的影子，Process Explorer也发现不了，手工清除后网络正常了。



事后，静下心来想想，这次的网络故障基本可以说是有人在捣蛋。看看周围这么多的流氓软件，唉只有一声叹息。