最近單位局域網電腦上網,大多數網站頁面顯示都會異常,卡巴在訪問網站的時候會提示“"木馬程序Trojan-Downloader.JS.Agent.gd 文件[url]hxxp://16a.us/*.js[/url]”,查看HTML源碼,會在所有網頁頂部多出一行 ,最開始還以為是我們單位網站服務器被掛了木馬,後來發現訪問其他網站也是同樣問題,包括建行、IT168等大型網站,所以就把問題鎖定在我們局域網內部,開始上網找解決辦法,試驗過各種辦法都沒有效果,包括:
1、修改Hosts文件
2、下載360安全衛士的什麼固定時間的軟件
3、升級操作系統補丁
4、升級殺毒軟件的最新病毒庫等等
今天上午,不甘心,繼續在搜索引擎中尋找答案(而且這個問題必須解決,否則單位裡同事上網基本上處於半癱瘓狀態,絕大多數網站顯示異常),受到一個帖子的啟發,認為16a.us病毒現象應該是屬於APR病毒欺騙攻擊,所以就在Baidu裡檢索有關APR病毒欺騙攻擊的解決方案,經過試驗並論證,我們單位局域網電腦問題全部解決,不敢獨享,特意將解決方案拿出來共享,希望能夠幫到其他正為這個問題急得焦頭爛額的同仁們!
具體的解決步驟如下(將網關的MAC地址進行靜態綁定):
第1步:關閉所有IE浏覽器,進入CMD模式
第2步:輸入arp -a指令,可以在返回的結果看到局域網網關的IP地址及MAC地址(網關MAC地址的正確性需要與網管確認一下,以防病毒已經在你電腦的ARP緩存中修改了網關的MAC地址)。
第3步:輸入arp -s 網關IP地址 網關MAC地址,記住這裡輸入的MAC地址是需要正確的網關MAC地址。
第4步:進入網絡屬性,如果不是動態獲IP地址,改成動態獲IP地址(如果已經是動態獲IP地址,則重新修復一下網絡連接便可)。
第5步:問題解決了,打開IE,試驗一下看看,是否以前有問題的網站現在都顯示正常了。
注:
1、建議將第三步寫成一個批處理文件,添加到啟動項,否則每次啟動之後將丟失配置。
2、如果是DNS服務器MAC地址被挾持,就處理相應DNS服務器MAC綁定。
3、以上方法只是治標,並沒有治本,我們要共同盡快找到徹底清楚16a.us元凶(也就是說在局域網的電腦內,必定有一台電腦確實中毒了或被掛上木馬了)的方法。