IGM.EXE病毒是近日所发现的一个正在大范围传播的病毒,很多网吧已经深受其害;该病毒主要通过IE下载其他病毒,感染可执行文件、盗取QQ.、游戏帐号密码等等。该病毒从2007年10月起开始流行,病毒发作时,非常消耗局域网和接入设备的资源,造成用户上网变得很慢或者不能上网。下面就来介绍一下,怎样通过 HiPER 安全网关快速诊断局域网内电脑感染了这种病毒,以及怎样设置安全策略防止这种病毒对用户上网造成的影响。
【故障现象】
这个是一个下载类的病毒,中了它并不可怕,但是igm.exe会下载更多的病毒,导致电脑出现不同的症状。这个病毒的主要表现是在
1、系统进程中有igm.exe进程。
2、MSconfig的启动项里有IGM.EXE 。
3、磁盘主目录中有auto.exe和autorun.inf。
4、大量占用网络资源,网速奇卡,造成拥塞导致掉线。
5、IE,QQ等应用程序打开后就自动关闭。
6、CPU使用率100%,多出N多可疑进程,例如:.exe cmd.exe 23.exe……
7、最新出的变种,替换C盘的userinit.exe,大家都知道网吧里都有还原装置,要么是冰点,要么是还原卡,可是这个病毒类似机器狗,穿透还原,更改userinit.exe。
如果发现有以上的症状,那么可以判定您中了igm.exe病毒。
该病毒利用MAC地址欺骗进行局域网传播,中毒的电脑劫持路由,修改MAC、IP,并不停的向局域网机器发MAC欺骗包。大量的数据包将导致局域网通讯拥塞,用户会感觉上网速度越来越慢,掉线;甚至无法上网,同时造成整个局域网的不稳定。拦截局域网用户打开的网页。自动加载病毒网页,并从上面的网站下载木马盗号器,然后打开的网页会自动关闭。
【运行原理】
通过一些问题网站下载机器狗病毒。 机器狗病毒通过磁盘驱动,穿透还原替换原userinit.exe,(替换后userinit.exe就是个木马下载器也就是通过它下载的IGM.exe)在中毒机器重起后开机后系统会自动启动userinit.exe文件这时候下载各种木马包括IGM.exe.
这个ARP病毒主要在做两面欺骗,一面是欺骗客户机说路由的MAC地址改变,另一面是在欺骗路由器,说以下IP地址的MAC地址是多少多少,然后中毒机器再伪装成路由器。当客户机发送到路由器的数据同时也发往了中毒机器,当路由器往客户机发数据时,就直接发到了中毒的机器,然后由中毒的机器转发到其他的客户机。在数据经过中毒机器时,并不是向路由器那样直接做策略判断然后就转发了,而是分析数据包然后向数据包里插入上面提到到的恶意网页连接,从而达到通过IE下载病毒并运行病毒的目的。这类分析对HTTS等加密数据包似乎无效。但值得注意的是,越是性能优越的计算机与性能优越的网络,这样的病毒得逞的几率就越大,因为优越的计算机性能,会给病毒在在数据包的分析,插入,修改,转发操作上提供更快的处理速度,这时ping内网到路由器的延迟大概在5ms以下,正常的网络会小于1MS,如果PC的性能很差,当遇到大的数据涌过来时,就会导致掉线,甚至自己死机,这时的性能下降到比路由还差,给路由广播创造了良好的环境得以纠正错误的MAC地址。
相关报道
网络设备导航
