1. 苏葳的备忘录首页
  2. 网络

网络时通时断,还有流氓软件…

arp mac最近几天有点烦。网络不稳定的毛病才下眉头,流氓软件的老麻烦又上心头。就目前来看,流氓软件已经超过病毒成为电脑上的第一公害了,一方面对流氓软件还找不到彻底的防护手段,另一方面3721那些人还在招徭过市。难道留着这些道德败坏的家伙们是为了刺激我国反流氓软件产业的发展?权力与利益的博弈让我等屁民只有默默蛋疼。

先说网络的毛病。这段时间上网总出现打不开页面的错误,在测试过程中发现原因主要是本机到上网服务器之间的连接偶而会中断。在本机上开窗口一直ping服务器,能够监测到断线情况,过会儿自己恢复正常。如果在断线时开另外窗口ping网内另一台机器,某些时候第一个窗口就能够立刻收到响应包。从这些现象看,不象是网线上有物理连接问题。

用Arp -a看,发现在连通时和断线时,服务器端网卡的MAC地址发生了变化!被替换成的MAC地址有时是本网内另一台机子的网卡地址,有时是另一个查不到的地址。基本上在这两个MAC地址之间变化。是不是有可能网内有机器中了Arp欺骗型木马呢?一时难以确定,目前先用Arp -s在本机上绑定服务器端IP与MAC地址解决问题。

所谓祸不单行,查找问题过程中又有惊喜-_-。因为MAC地址映射错误只发生在本机上,我断线的同时另一同事的机子却能正常连接。所以怀疑问题出现在本机上。本机装有Windows Defender,还有诺顿AntiVirus和AD-Adware SE pro,都是随时更新的。把机子查了一遍没有发现任何问题。想起来之前在Windows防火墙里发现的两个名为“DM”的例外程序,就打开防火墙窗口仔细看了一下。看到这是两个在Local Settingtemp下的可疑执行文件,从文件属性里看不到公司信息。程序图标为常见的安装程序图标,内部名称为“dmremotesetup”,用UE打开,看到程序中有http://dmdl.dmcast.com/setup/iebar.exe字串存在。测试此链接时无法解析域名。而这两个文件的大小也不相同。在google里搜索,只有金山的一个论坛有一条贴子反映这个问题,网页还打不开…显然是这程序自己打开了防火墙窗口。也许只是个安装IE插件的广告程序罢了。但是几个防护工具都没有查到它,实在是令人放心不下。又安装了NoAdware4更新后查这个文件夹,仍然没有查到这两个程序。倒是发现System32下有个winsys.exe报了警,真让人无奈。

就个人感受来说,流氓软件的传播主要是两种途径,一是打开不知情的网页,二是安装一些所谓免费或者破解软件。这一点上,华军,天空这些下载站推出的封杀插件行动确实是一大善举。一些明明用ZIP打包就可以下载的补丁,用户自己覆盖安装也是非常容易,它非要做个安装程序搞成黑盒子,谁知道里面做了多少手脚。或许不得不安装这些软件时,用filemon/regmon之类的软件监控起来也是一种办法。

原创文章,作者:苏葳,如需转载,请注明出处:https://www.swmemo.com/166.html

发表评论

邮箱地址不会被公开。 必填项已用*标注