IGM.EXE病毒是近日所发现的一个正在大范围传播的病毒，很多网吧已经深受其害；该病毒主要通过IE下载其他病毒，感染可执行文件、盗取QQ.、游戏帐号密码等等。该病毒从2007年10月起开始流行，病毒发作时，非常消耗局域网和接入设备的资源，造成用户上网变得很慢或者不能上网。下面就来介绍一下，怎样通过 HiPER 安全网关快速诊断局域网内电脑感染了这种病毒，以及怎样设置安全策略防止这种病毒对用户上网造成的影响。

　　【故障现象】

这个是一个下载类的病毒，中了它并不可怕，但是igm.exe会下载更多的病毒，导致电脑出现不同的症状。这个病毒的主要表现是在

1、系统进程中有igm.exe进程。

2、MSconfig的启动项里有IGM.EXE 。

3、磁盘主目录中有auto.exe和autorun.inf。

4、大量占用网络资源，网速奇卡，造成拥塞导致掉线。

5、IE，QQ等应用程序打开后就自动关闭。

6、CPU使用率100%，多出N多可疑进程，例如：.exe  cmd.exe  23.exe……

7、最新出的变种，替换C盘的userinit.exe，大家都知道网吧里都有还原装置，要么是冰点，要么是还原卡，可是这个病毒类似机器狗，穿透还原，更改userinit.exe。

如果发现有以上的症状，那么可以判定您中了igm.exe病毒。

　　该病毒利用MAC地址欺骗进行局域网传播，中毒的电脑劫持路由，修改MAC、IP，并不停的向局域网机器发MAC欺骗包。大量的数据包将导致局域网通讯拥塞，用户会感觉上网速度越来越慢，掉线；甚至无法上网，同时造成整个局域网的不稳定。拦截局域网用户打开的网页。自动加载病毒网页,并从上面的网站下载木马盗号器，然后打开的网页会自动关闭。

 

【运行原理】

通过一些问题网站下载机器狗病毒。 机器狗病毒通过磁盘驱动，穿透还原替换原userinit.exe，（替换后userinit.exe就是个木马下载器也就是通过它下载的IGM.exe）在中毒机器重起后开机后系统会自动启动userinit.exe文件这时候下载各种木马包括IGM.exe.



这个ARP病毒主要在做两面欺骗，一面是欺骗客户机说路由的MAC地址改变，另一面是在欺骗路由器，说以下IP地址的MAC地址是多少多少，然后中毒机器再伪装成路由器。当客户机发送到路由器的数据同时也发往了中毒机器，当路由器往客户机发数据时，就直接发到了中毒的机器，然后由中毒的机器转发到其他的客户机。在数据经过中毒机器时，并不是向路由器那样直接做策略判断然后就转发了，而是分析数据包然后向数据包里插入上面提到到的恶意网页连接，从而达到通过IE下载病毒并运行病毒的目的。这类分析对HTTS等加密数据包似乎无效。但值得注意的是，越是性能优越的计算机与性能优越的网络，这样的病毒得逞的几率就越大，因为优越的计算机性能，会给病毒在在数据包的分析，插入，修改，转发操作上提供更快的处理速度，这时ping内网到路由器的延迟大概在5ms以下，正常的网络会小于1MS，如果PC的性能很差，当遇到大的数据涌过来时，就会导致掉线，甚至自己死机，这时的性能下降到比路由还差，给路由广播创造了良好的环境得以纠正错误的MAC地址。

　　【HiPER上的快速查找】

从HiPER的上网监控中可以看到有内网主机和以下的IP地址发生联接：

相关网站及IP:

www.94ak.com      58.211.79.98   

t.11se.com        221.130.191.207

www.99mmm.com     219.153.42.98

www.44ccc.com     219.153.42.98

www.77bbb.com     219.153.42.98

3．77bbb.com      218.83.175.154

ask.35832.com     218.83.175.154

www.35832.com     218.83.175.154

www.15197.com     218.83.175.154

www.91ni.com      61.152.101.128

www.161816.com     60.190.114.95

　　【解决办法】

1、将病毒主机断网杀毒。

2、在路由器和PC上作双向绑定，双向绑定是客户计算机绑定网关设备的MAC地址与IP地址对应关系，并在路由上绑定所有客户机的MAC地址与IP地址对应关系。

  　　1)路由器上的绑定：



2)客户计算机上的绑定

客户可以将“导出ARP绑定脚本文件”中的BAT文件直接放置每台PC的启动选项中即可。

 　　

3、艾泰路由器可以在艾泰设备的“高级配置”-“业务管理”中，采用URL过滤或IP过滤的方法禁止内网IP访问以上的病毒联接地址。

  　　1) WebUI 高级配置 组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有 IP地址（192.168.0.1--192.168.0.254）。

注意：这里用户局域网段为 192.168.0.0/24，用户应该根据实际使用的 IP地址段进行组 IP地址段指定。

http://hack-coins-gems.com/agar-io-hack-unlimited-coins-skins/

 　　

  　　2)WebUI 高级配置 业务管理 业务策略配置，建立url过滤策略“f_1”（可以自定义名称），屏蔽目的地址为www.94ak.com的域名，按照下图进行配置，保存。

 　　

  3）WebUI 高级配置 业务管理 业务策略列表中，可以查看到上一步建立的“f_1”的策略（“dns”、“dhcp”为系统自动生成的允许 dns 和 dhcp 数据包的策略，不必修改），同时系统自动生成一条名称为“grp1_other”的策略，该策略屏蔽了所有外出的数据包，为了保障其他上网的正常进行，需要将此策略动作编辑为“允许” 。

 　　

4）在上表中，单击策略名“grp1_other”，在下面的表项中，将动作由“禁止” 编辑为“ 允许”，保存。

 　　

  　　5)重复步骤 2），将其他病毒链接URL和IP 等关闭。

AGARIO HACK

How to Hack Agario

 

　　6）WebUI 高级配置-业务管理-全局配置中，取消“允许其他用户”的选中，选中“启用业务管理” ，保存。

 　　　

3、 注意：

1） 配置之前不能有命令生成的业务管理策略存在，否则可能导致 Web 界面生成的业务管理策略工作异常或者不生效。

2） 如果，已经有工作组存在，并且在业务管理中配置了策略，必须在 WebUI 高级配置-组管理中，将该网段所有用户分配在相关的组中，然后在 WebUI-高级配置-业务管理中将每个组的外网相关病毒链接url或IP地址设为禁止访问。

　　【PC上的解决办法】

把下面代码保存成批处理通过启动项自动加载！

md %windir%IGM.exe

md %windir%IG.exe

md %windir%IGW.exe

md %windir%AVPSrv.exe

md %windir%DiskMan32.exe

md %windir%Kvsc3.exe

md %windir%lqvytv.exe

md %windir%MsIMMs32.exe

md %windir%system32
acvsvc.exe

md %windir%system32driverssvchost.exe

md %windir%cmdbcs.exe

md %windir%dbghlp32.exe

md %windir%
vdispdrv.exe

md %windir%upxdnd.exe

md %Temp%QQSC.exe

md %Temp%close.exe

md %Temp% omons.exe

md "%ProgramFiles%1.exe"

md "%ProgramFiles%2.exe"

md "%ProgramFiles%3.exe"

md "%ProgramFiles%4.exe"

md "%ProgramFiles%4.exe"

md "%ProgramFiles%6.exe"

md "%ProgramFiles%7.exe"

md "%ProgramFiles%8.exe"

md "%ProgramFiles%9.exe"

md "%ProgramFiles%10.exe"

md "%ProgramFiles%11.exe"

md "%ProgramFiles%12.exe"

md "%ProgramFiles%13.exe"

md "%ProgramFiles%14.exe"

md "%ProgramFiles%15.exe"

md "%ProgramFiles%16.exe"

md "%ProgramFiles%17.exe"

md "%ProgramFiles%18.exe"

md "%ProgramFiles%19.exe"

md "%ProgramFiles%20.exe"

md "%ProgramFiles%21.exe"

md "%ProgramFiles%22.exe"

md "%ProgramFiles%23.exe"

md "%ProgramFiles%24.exe"

md "%ProgramFiles%25.exe"

md "%ProgramFiles%26.exe"

md "%ProgramFiles%27.exe"

md "%ProgramFiles%28.exe"

md "%ProgramFiles%29.exe"

md "%ProgramFiles%30.exe"

ATTRIB +R +H +S %windir%IGM.exe

ATTRIB +R +H +S %windir%IG.exe

ATTRIB +R +H +S %windir%IGW.exe

ATTRIB +R +H +S %windir%system32
acvsvc.exe

ATTRIB +R +H +S %windir%system32driverssvchost.exe

ATTRIB +R +H +S %windir%cmdbcs.exe

ATTRIB +R +H +S %windir%dbghlp32.exe

ATTRIB +R +H +S %windir%
vdispdrv.exe

ATTRIB +R +H +S %windir%upxdnd.exe

ATTRIB +R +H +S %windir%AVPSrv.exe

ATTRIB +R +H +S %windir%DiskMan32.exe

ATTRIB +R +H +S %windir%Kvsc3.exe

ATTRIB +R +H +S %windir%lqvytv.exe

ATTRIB +R +H +S %windir%MsIMMs32.exe

ATTRIB +R +H +S %Temp%QQSC.exe

ATTRIB +R +H +S %Temp%close.exe

ATTRIB +R +H +S %Temp% omons.exe

ATTRIB +R +H +S "%ProgramFiles%1.exe"

ATTRIB +R +H +S "%ProgramFiles%2.exe"

ATTRIB +R +H +S "%ProgramFiles%3.exe"

ATTRIB +R +H +S "%ProgramFiles%4.exe"

ATTRIB +R +H +S "%ProgramFiles%4.exe"

ATTRIB +R +H +S "%ProgramFiles%6.exe"

ATTRIB +R +H +S "%ProgramFiles%7.exe"

ATTRIB +R +H +S "%ProgramFiles%8.exe"

ATTRIB +R +H +S "%ProgramFiles%9.exe"

ATTRIB +R +H +S "%ProgramFiles%10.exe"

ATTRIB +R +H +S "%ProgramFiles%11.exe"

ATTRIB +R +H +S "%ProgramFiles%12.exe"

ATTRIB +R +H +S "%ProgramFiles%13.exe"

ATTRIB +R +H +S "%ProgramFiles%14.exe"

ATTRIB +R +H +S "%ProgramFiles%15.exe"

ATTRIB +R +H +S "%ProgramFiles%16.exe"

ATTRIB +R +H +S "%ProgramFiles%17.exe"

ATTRIB +R +H +S "%ProgramFiles%18.exe"

ATTRIB +R +H +S "%ProgramFiles%19.exe"

ATTRIB +R +H +S "%ProgramFiles%20.exe"

ATTRIB +R +H +S "%ProgramFiles%21.exe"

ATTRIB +R +H +S "%ProgramFiles%22.exe"

ATTRIB +R +H +S "%ProgramFiles%23.exe"

ATTRIB +R +H +S "%ProgramFiles%24.exe"

ATTRIB +R +H +S "%ProgramFiles%25.exe"

ATTRIB +R +H +S "%ProgramFiles%26.exe"

ATTRIB +R +H +S "%ProgramFiles%27.exe"

ATTRIB +R +H +S "%ProgramFiles%28.exe"

ATTRIB +R +H +S "%ProgramFiles%29.exe"

ATTRIB +R +H +S "%ProgramFiles%30.exe"

echo y| CACLS %windir%IGM.exe /d everyone

echo y| CACLS %windir%IG.exe /d everyone

echo y| CACLS %windir%IGW.exe /d everyone

echo y| CACLS %windir%system32
acvsvc.exe /d everyone

echo y| CACLS %windir%system32driverssvchost.exe /d everyone

echo y| CACLS %windir%cmdbcs.exe /d everyone

echo y| CACLS %windir%dbghlp32.exe /d everyone

echo y| CACLS %windir%
vdispdrv.exe /d everyone

echo y| CACLS %windir%upxdnd.exe /d everyone

echo y| CACLS %windir%AVPSrv.exe /d everyone

echo y| CACLS %windir%DiskMan32.exe /d everyone

echo y| CACLS %windir%Kvsc3.exe /d everyone

echo y| CACLS %windir%lqvytv.exe /d everyone

echo y| CACLS %windir%MsIMMs32.exe /d everyone

echo y| CACLS %Temp%QQSC.exe /d everyone

echo y| CACLS %Temp%close.exe /d everyone

echo y| CACLS %Temp% omons.exe /d everyone

echo y| CACLS "%ProgramFiles%1.exe" /d everyone

echo y| CACLS "%ProgramFiles%2.exe" /d everyone

echo y| CACLS "%ProgramFiles%3.exe" /d everyone

echo y| CACLS "%ProgramFiles%4.exe" /d everyone

echo y| CACLS "%ProgramFiles%4.exe" /d everyone

echo y| CACLS "%ProgramFiles%6.exe" /d everyone

echo y| CACLS "%ProgramFiles%7.exe" /d everyone

echo y| CACLS "%ProgramFiles%8.exe" /d everyone

echo y| CACLS "%ProgramFiles%9.exe" /d everyone

echo y| CACLS "%ProgramFiles%10.exe" /d everyone

echo y| CACLS "%ProgramFiles%11.exe" /d everyone

echo y| CACLS "%ProgramFiles%12.exe" /d everyone

echo y| CACLS "%ProgramFiles%13.exe" /d everyone

echo y| CACLS "%ProgramFiles%14.exe" /d everyone

echo y| CACLS "%ProgramFiles%15.exe" /d everyone

echo y| CACLS "%ProgramFiles%16.exe" /d everyone

echo y| CACLS "%ProgramFiles%17.exe" /d everyone

echo y| CACLS "%ProgramFiles%18.exe" /d everyone

echo y| CACLS "%ProgramFiles%19.exe" /d everyone

echo y| CACLS "%ProgramFiles%20.exe" /d everyone

echo y| CACLS "%ProgramFiles%21.exe" /d everyone

echo y| CACLS "%ProgramFiles%22.exe" /d everyone

echo y| CACLS "%ProgramFiles%23.exe" /d everyone

echo y| CACLS "%ProgramFiles%24.exe" /d everyone

echo y| CACLS "%ProgramFiles%25.exe" /d everyone

echo y| CACLS "%ProgramFiles%26.exe" /d everyone

echo y| CACLS "%ProgramFiles%27.exe" /d everyone

echo y| CACLS "%ProgramFiles%28.exe" /d everyone

echo y| CACLS "%ProgramFiles%29.exe" /d everyone

echo y| CACLS "%ProgramFiles%30.exe" /d everyone

echo y| CACLS "e:30.exe" /d everyone

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIGM.exe" /v debugger /t reg_sz /d debugfile.exe /f

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIGw.exe" /v debugger /t reg_sz /d debugfile.exe /f

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIG.exe" /v debugger /t reg_sz /d debugfile.exe /f

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsQQSC.exe" /v debugger /t reg_sz /d debugfile.exe /f

reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvsc3.exe" /v debugger /t reg_sz /d debugfile.exe /f

taskkill /im IGM.exe /f

taskkill /im IG.exe /f

taskkill /im IGW.exe /f

AGARIO CHEAT