2004-03-13凌晨开始MODEM又开始断流发生拉！具体原因。。。

YES东

[这个贴子最后由YES东在 2004/03/13 02:12am 第 1 次编辑]

没想到这里我的设备也频繁出现断流（几分钟一次），之前别人说出现频繁断流我却没问题。
我所使用的设备是G1，FW版本：138030917a26.0 使用地方：广州
今晚凌晨上网就出现了频繁的断流情况，即使我做了透明映射到我的电脑来并对设备的默认三个端口进行修改和打开ADSL的防火墙还是无法避免。登陆设备的防火墙日志内容：
Time: 2 hr,2 min,3 sec
Port Scan Type-        RST scan, Src:219.145.93.110, Dst:61.144.142.47, Prot:TCP   , DPort:4701 , Intf: ppp-0, ScanCnt:206
Time: 2 hr,1 min,56 sec
ViolationType-         SYN DOS, Src:172.25.1.41, Dst:66.185.84.73, Prot:TCP   , SPort: 4703, DPort:4220 , Intf: eth-0, ViolationCnt:4840
SessDeleted:325
Time: 2 hr,1 min,24 sec
Port Scan Type-        ACK scan, Src:61.150.84.81, Dst:61.144.142.47, Prot:TCP   , DPort:3002 , Intf: ppp-0, ScanCnt:35148
Time: 2 hr,1 min,23 sec
Port Scan Type-     SYNACK Scan, Src:218.76.47.13, Dst:61.144.142.47, Prot:TCP   , DPort:4300 , Intf: ppp-0, ScanCnt:1398
Time: 1 hr,37 min,19 sec
Port Scan Type-TCP Session scan, Src:172.25.1.41, Dst:218.79.246.27, Prot:TCP   , DPort:30161, Intf: eth-0, ScanCnt:10813
Time: 1 hr,37 min,10 sec
ViolationType-  SingleHost DOS, IP Address:172.25.1.41, Intf: (null)
Time: 1 hr,32 min,1 sec
Port Scan Type-        RST scan, Src:219.145.93.110, Dst:61.144.142.47, Prot:TCP   , DPort:3520 , Intf: ppp-0, ScanCnt:210
Time: 1 hr,31 min,24 sec
Port Scan Type-        ACK scan, Src:82.32.33.166, Dst:61.144.142.47, Prot:TCP   , DPort:3147 , Intf: ppp-0, ScanCnt:30790
Time: 1 hr,31 min,20 sec
ViolationType-         SYN DOS, Src:172.25.1.41, Dst:61.145.213.178, Prot:TCP   , SPort: 3194, DPort:6882 , Intf: eth-0, ViolationCnt:5034
SessDeleted:9
Time: 1 hr,31 min,20 sec
Port Scan Type-     SYNACK Scan, Src:218.79.157.12, Dst:61.144.142.47, Prot:TCP   , DPort:3070 , Intf: ppp-0, ScanCnt:1269
Time: 1 hr,7 min,19 sec
Port Scan Type-TCP Session scan, Src:67.71.17.185, Dst:61.144.142.47, Prot:TCP   , DPort:24625, Intf: ppp-0, ScanCnt:9884
Time: 1 hr,6 min,39 sec
ViolationType-  SingleHost DOS, IP Address:172.25.1.41, Intf: (null)
Time: 1 hr,1 min,24 sec
Port Scan Type-        ACK scan, Src:220.112.64.232, Dst:61.144.142.47, Prot:TCP   , DPort:3064 , Intf: ppp-0, ScanCnt:21882
Time: 1 hr,1 min,23 sec
Port Scan Type-        RST scan, Src:212.242.211.145, Dst:61.144.142.47, Prot:TCP   , DPort:3034 , Intf: ppp-0, ScanCnt:286
Time: 1 hr,1 min,20 sec
Port Scan Type-     SYNACK Scan, Src:218.64.2.200, Dst:61.144.142.47, Prot:TCP   , DPort:3313 , Intf: ppp-0, ScanCnt:1648
Time: 1 hr,1 min,20 sec
ViolationType-         SYN DOS, Src:172.25.1.41, Dst:61.54.235.117, Prot:TCP   , SPort: 3251, DPort:1884 , Intf: eth-0, ViolationCnt:4804
SessDeleted:5
Time: 0 hr,37 min,19 sec
Port Scan Type-TCP Session scan, Src:172.25.1.41, Dst:219.154.14.127, Prot:TCP   , DPort:8881 , Intf: eth-0, ScanCnt:1551
Time: 0 hr,36 min,33 sec
ViolationType-  SingleHost DOS, IP Address:172.25.1.41, Intf: (null)
Time: 0 hr,31 min,24 sec
Port Scan Type-        ACK scan, Src:61.54.85.217, Dst:61.144.142.47, Prot:TCP   , DPort:1231 , Intf: ppp-0, ScanCnt:0
Time: 0 hr,31 min,22 sec
Port Scan Type-        RST scan, Src:219.145.93.110, Dst:61.144.142.47, Prot:TCP   , DPort:1131 , Intf: ppp-0, ScanCnt:0
Time: 0 hr,31 min,20 sec
Port Scan Type-     SYNACK Scan, Src:220.112.64.232, Dst:61.144.142.47, Prot:TCP   , DPort:1179 , Intf: ppp-0, ScanCnt:0
Time: 0 hr,31 min,20 sec
ViolationType-         SYN DOS, Src:172.25.1.41, Dst:61.235.82.224, Prot:TCP   , SPort: 1216, DPort:9929 , Intf: eth-0, ViolationCnt:0
SessDeleted:2
Time: 0 hr,7 min,18 sec
Port Scan Type-TCP Session scan, Src:211.98.174.109, Dst:61.144.142.47, Prot:TCP   , DPort:23140, Intf: ppp-0, ScanCnt:0

同时由于我透明映射到我的电脑中，我的电脑的诺顿网络防火墙接收到一个小时几千次的入侵记录。这次大规模的viking系列芯片的MODEM采用路由功能上网断流或断线的问题明显是受到了攻击导致，这个已经从自己的设备记录中还有电信和华硕那边得到了证实。但这次的起源是什么东西导致呢！同一时间内网络上大规模的搜索绝对不是人工操作的，只有一个原因：“网络病毒爆发”
我上了几个大型的安全网站和杀毒软件的网站了解了一下，个人认为这次的罪魁祸首应该是名为“网络天空”变种NETSKY.D,“雏鹰病毒”变种F,“桃色陷井”病毒变种还有“飞波”这几个病毒的可能性比较大。下面我把这几个病毒的资料文章发给大家看看。

YES东

“飞波”病毒伪装成显卡驱动，再次攻击RPC漏洞   
--------------------------------------------------------------------------------
www.jiangmin.com.cn 2004-3-10 17:30:10 作者: 信息出自:江民科技   
   
   

    3月9日，江民快速反病毒小组率先截获一名为Backdoor/Phatbot.e病毒，该病毒伪装成NVIDI显卡的驱动程序，通过RPC DCOM漏洞，以及RPC Locator和IRC聊天软件进行传播。病毒发作后，启动大量线程，对远程服务器发动多种DoS攻击，耗尽CPU资源。病毒还会尝试破解局域网内其他计算机的密码，一旦破解成功，就自动感染。同时，该病毒还搜集用户机器上的游戏CDKey、Email地址和注册表信息，通过IRC向外发送。目前，江民已接到用户感染该病毒的报告，部分局域网已因病毒攻击而陷入瘫痪。
    江民反病毒专家介绍，“飞波”病毒运行时，会自动结束将近600种杀毒软件和调试工具的进程，基本包括了所有国外杀软和常用工具。搜索本地局域网的机器，通过RPC DCOM漏洞（135号端口）和RPC Locator(445号端口)进行传播，有可能造成"RPC错误，1分钟倒计时重启"现象。该病毒自带IRC机器人模块，可以自动登陆IRC聊天服务器，与其他Backdoor/Phatbot机器人通过IRC进行通信。并可以利用其内嵌的FTP模块进行自我升级和其他文件传输。
    病毒还会将本地磁盘C:, D:, E:设置为共享，并用自带的密码字典（约包含100种常用密码）对局域网内的其他计算机进行暴力破解，一旦成功则感染该计算机。
    更厉害的是,病毒运行后，会根据IRC上的得到指令，开启大量监听和发包线程，向远程计算机发动SYN, UDP, ICMP, HTTP等多种DoS攻击，使CPU资源耗尽。
    此外，病毒还会窃取数十种游戏的CDKey以及用户机器上的email地址，根据后门指令收集用户的注册表信息，通过IRC发送出去。
    江民公司提醒用户，针对该病毒，江民科技已于第一时间提出解决方案，并已上报公安部主管部门，请用户及时升级KV系列杀毒软件到3月9日病毒库，开启七套病毒实时监控，即可全面查杀所有Backdoor/Phatbot变种，保护您的系统不受该病毒的侵害。

YES东

江民公布“I-Worm/NetSky.k”病毒分析报告   
--------------------------------------------------------------------------------
www.jiangmin.com.cn 2004-3-9 13:45:35 作者: 信息出自:江民科技   
   
   

病毒名称：I-Worm/NetSky.k
病毒大小：22,017 bytes
传播方式：网络传播
危害程度：***

  “网络天空”病毒的另一个变种，是I-Worm/NetSky.d以来的又一个传播比较广的变种。属于群发邮件的网络蠕虫类病毒，它可以利用自身的SMTP引擎通过电子邮件向外发送病毒自身进行传播,并遍历驱动器中文件夹并将病毒自身复制到这些文件夹中。
    此病毒的传播过程如下：
1.将病毒自身复制到Windows的安装路径下（默认为Windows或者Winnt），文件名为Winlogon.exe。
2.在系统注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加
"ICQ Net" = "%Windir%\winlogon.exe -stealth"键值，以使生成的病毒体文件可以与Windows系统一同启动，如图1

                                图 1
3.删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的键值
"Taskmon"
"Explorer"
"KasperskyAv"
"system."
"msgsvr32"
"DELETE ME"
"service"
"Sentry"
"Windows Services Host"
4.删除下列注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
System.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
"Taskmon"
"Explorer"
"KasperskyAv"
"d3dupdate.exe"
"au.exe"
"OLE"
"Windows ervices Host"
5.删除下列注册表子键：
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
6.在所有硬盘驱动器以及映射驱动器中的下列文件类型中搜索有效的Email地址，作为传播对象：
.dhtm
.cgi
.shtm
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
7.利用自身的SMTP引擎向所有找到的Email地址发送带有病毒的电子邮件，每个地址将发送一次。病毒试图得到本地DNS（通过调用API函数），如果得到则针对收信人进行MX查询，否则使用病毒自带的DNS：
212.44.160.8
195.185.185.195
151.189.13.35
213.191.74.19
193.189.244.205
145.253.2.171
193.141.40.42
194.25.2.134
194.25.2.133
194.25.2.132
194.25.2.131
193.193.158.10
212.7.128.165
212.7.128.162
193.193.144.12
217.5.97.137
195.20.224.234
194.25.2.130
194.25.2.129
212.185.252.136
212.185.253.70
212.185.252.73
62.155.255.16
8.病毒还会自动的避免向各个杀毒厂商发送所带病毒邮件，包括：
skynet
messagelabs
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
spam
ymantec
antivi
icrosoft
9.如果被感染计算机的系统时间是2004年3月2日的上午6点和9点之间，病毒会使计算机的喇叭不停地发出响声。
10.病毒有可能用的的邮件主题为：
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
邮件内容为：
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
邮件附件可能的文件名：
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

YES东

江民公布“飞波”病毒技术分析报告   
--------------------------------------------------------------------------------
www.jiangmin.com.cn 2004-3-10 17:36:52 作者: 信息出自:江民科技   
   
   

                        
病毒名称：“飞波”Backdoor/Phatbot.e
病毒类型：蠕虫；后门程序
传播方式：网络
病毒大小：115738字节
  Backdoor/Phatbot.e通过RPC DCOM漏洞，RPC Locator和IRC聊天软件进行传播，并会启动大量线程，对远程服务器发动多种DoS攻击，耗尽CPU资源。还会尝试破解局域网内其他计算机的密码，一旦破解成功，就自动感染。同时，该病毒还搜集用户机器上的游戏CDKey、Email地址和注册表信息，通过IRC向外发送。
  具体技术特征如下：
1.将自身复制到%SystemDir%\nvchip4.exe，并在注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService中添加：
“nVidia Chip4”= “nvchip4.exe”
     如果病毒发现自己不在%SystemDir%目录中，在运行后自动删除自己。




2.自动结束将近600种杀毒软件和调试工具的进程，基本包括了所有国外杀软和常用工具。
3.搜索本地局域网的机器，通过RPC DCOM漏洞（135号端口）和RPC Locator(445号端口)进行传播，有可能造成“RPC错误，1分钟倒计时重启”现象。
4.自带IRC机器人模块，可以自动登陆IRC聊天服务器，与其他Backdoor/Phatbot机器人通过IRC进行通信。并可以利用其内嵌的FTP模块进行自我升级和其他文件传输。
5.将本地磁盘C:, D:, E:设置为共享，并用自带的密码字典（约包含100种常用密码）对局域网内的其他计算机进行暴力破解，一旦成功则感染该计算机。
6.会根据IRC上的得到指令，开启大量监听和发包线程，向远程计算机发动SYN, UDP, ICMP, HTTP等多种DoS攻击，使CPU资源耗尽。
7.窃取数十种游戏的CDKey，并通过IRC发送出去。
8.收集用户机器上的email地址，并通过IRC发送出去。
9.可以根据后门指令收集用户的注册表信息，通过IRC发送出去。

YES东

新浪：江民截获三种恶性病毒变种 可能会同时爆发   
--------------------------------------------------------------------------------
www.jiangmin.com.cn 2004-3-11 15:22:48 作者: 信息出自:新浪科技3.2   
   
   


   新浪科技讯 3月1日晚到2日凌晨，江民快速反病毒小组接连续截获三种近期流行的计算机变种病毒，“网络天空”变种NETSKY.D,“雏鹰病毒”变种F,“桃色陷井”病毒变种,如此集中的病毒变种爆发,在反病毒业界历史上也是极其罕见的.而就在3月1日上午江民还紧急升级了雏鹰变种E的病毒库，并进行了紧急升级，江民KV系列软件一天紧急升级了四次之多。种种迹象表明,一轮计算机病毒变种正在袭击网络?

　　3月1日晚8：30，江民快速反病毒小组率先截获近期肆虐网络的网络天空病毒最新变种NetSky.d，和其先前的变种I-Worm/NetSky.c一样，该最新变种同样是通过邮件来发送自身的。然而该变种的精明之处在于，其在发送的邮件地址上做了特殊处理，那就是凡是包含有反病毒厂商名称的地址一律默认不发送，这样就可以减少被反病毒厂商截获的机率，为其进一步传播争取了时间。
　　晚9：00左右，江民快速反病毒小组成员刚刚解决完NetSky.d病毒，又监测到“雏鹰病毒”变种F正在网上伺机传播，而该变种的出现距上一个变种E时间还不到一天。该病毒伪装成文件夹图标，诱发用户的好奇心去点击，病毒发用后除了能向外疯狂发送邮件外，还向三个网站发起拒绝服务攻击。并终止国外大部分杀毒软件的运行。如果系统日期是3月25日以后，病毒则自动结束传播。
　　2日凌晨，刚刚准备休息的江民反病毒小组成员又监测到，2月22，24，26日分别截获三个桃色陷井病毒又出现新变种。于2日早晨再次捕获最新变种。它可以利用邮件疯狂传播，盗取《传奇》游戏密码；病毒运行后还会向当前qq聊天窗口自动发送病毒网页链接，结束流行杀毒软件和注册表编辑器等。而由于该病毒发送的链接中显示的是一张美女图片，因此也有厂商称此病毒为“美女杀手”。
　　江民反病毒专家分析认为，此次病毒变种集中爆发，表明了计算机病毒变种已成为今年病毒发展的一种趋向，而一天当中如此多的计算机病毒变种爆发，对于反病毒厂商来说绝对是对技术实力的考验，稍一疏忽，就有可能漏掉某一重大病毒从而造成大面积的疫情爆发。目前，对于以上病毒，江民KV系列杀毒软件已在3月1日一夜之间全部升级完毕，用户只需升级病毒库到3月1日版本，开启七套实时监控，即可有效防杀以上变种病毒。

YES东

Novarg“挪威客”病毒爆发，江民率先截杀   
--------------------------------------------------------------------------------
www.jiangmin.com.cn 2004-1-27 21:32:41 作者: 信息出自:江民科技   
   
   

                  
    1月27日，江民快速反病毒小组率先截获一名为I-WORM/Novarg的网络蠕虫，该蠕虫除了具备一般蠕虫病毒的特征，通过搜索有效的邮件地址发送自身外，还会启记事本程序notepad.exe做掩护，打开TCP端口的3127到3198，设置一个后台程序，使黑客程序得以连接到该机器，并利用它作为代理服务器来获得网络资源。2月份以后，该蠕虫还会对特定网站发起DoS拒绝服务攻击。
      江民反病毒专家介绍，该蠕虫病毒运行时，病毒程序会在WINDOWS的SYSTEM目录下生成文件shimgapi.dll、Taskmon.exe，同时在WINDOWS的临时文件TEMP目录下生成文件Message,该文件中含有一些随机的字母。与正常系统文件taskmon.exe 不同的是，病毒生成的该文件并不在WINDOWS目录下的正常位置。shimgapi.dll 文件会自动设置成一个代理服务器，并在TCP(3127到3198)下接受黑客的控制。
      病毒同时在WINDOWS的系统注册表下增加键值Taskmon= taskmon.exe 到HKEY_CURRENT_USER
\Software\Microsft\Windows\CurrentVersion\Run
和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。
完成以上动作后，病毒会在受感染的系统中潜伏，一旦系统日期进入2004年2月，蠕虫开始对一个特定的网站发起拒绝服务DoS攻击，建立64线程，每个线程都会在80端口发送GET请求。
       蠕虫程序利用自身的SMTP引擎，在以下扩展名称的文件中搜索可以传播的邮件地址（除了edu的外）：
htm、 .sht、 .php、.asp、 .dbx、.tbb、 .adb、.pl、 .wab、和.txt。
       含有病毒的邮件类型如下：
发送方：任一虚假的地址。
邮件主题包括：test\hi\hello\Mail Delivery System\Mail Transaction Failed\Server
Report\Status\Error
邮件内容大意为邮件发送失败的一些英文信息，
附件文件名称可能包含：document、readme、doc、text、file、data、test、message、body
文件扩展名称为伪装成纯文本格式的一些可执行文件：.pif、.scr、.exe、.cmd、.bat和.zip
    同时该蠕虫还会向特定的共享程序KaZaA的下载目录拷贝文件：
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
扩展名称可能是：
pif
scr
bat
exe

BnB

断流问题真是让人头大~

cainiao

我在NQ看到铁子了，那是不是说之前所做的修改都毫无意义了呢，包扩改端口，开火墙等等，究竟该怎么办呢？

bo

我的以前也没事，但从昨天下午3点开始噩梦就来了。一分钟才打开一个网页 ：（

南极森林

今天早上看看电脑，LINE又不闪了，但现在又能上了，是不是断流的用户大都是中了毒？