專家解讀APR病毒(二)

　　【編者按：前文，我們講述了ARP病毒的原理，這裡我們向大家介紹ARP病毒新的表現形式及相關案例。】

　　四、ARP病毒新的表現形式

　　由於現在的網絡游戲數據包在發送過程中，均已采用了強悍的加密算法，因此這類ARP病毒在解密數據包的時候遇到了很大的難度。現在又新出現了一種ARP病毒，與以前的一樣的是，該類ARP病毒也是向全網發送偽造的ARP欺騙廣播，自身偽裝成網關。但區別是，它著重的不是對網絡游戲數據包的解密，而是對於HTTP請求訪問的修改。

　　HTTP是應用層的協議，主要是用於WEB網頁訪問。還是以上面的局域網環境舉例，如果局域網中一台電腦S要請求某個網站頁面，如想請求www.sina.com.cn這個網頁，這台電腦會先向網關發送HTTP請求，說：“我想登陸www.sina.com.cn網頁，請你將這個網頁下載下來，並發送給我。”這樣，網關就會將www.sina.com.cn頁面下載下來，並發送給S電腦。這時，如果A這台電腦通過向全網發送偽造的ARP欺騙廣播，自身偽裝成網關，成為一台ARP中毒電腦的話，這樣當S電腦請求WEB網頁時，A電腦先是“好心好意”地將這個頁面下載下來，然後發送給S電腦，但是它在返回給S電腦時，會向其中插入惡意網址連接！該惡意網址連接會利用MS06-014和MS07-017等多種系統漏洞，向S電腦種植木馬病毒！同樣，如果D電腦也是請求WEB頁面訪問，A電腦同樣也會給D電腦返回帶毒的網頁，這樣，如果一個局域網中存在這樣的ARP病毒電腦的話，頃刻間，整個網段的電腦將會全部中毒！淪為黑客手中的僵屍電腦！

　　案例：

　　某企業用戶反映，其內部局域網用戶無論訪問那個網站，KV殺毒軟件均報病毒：Exploit.ANIfile.o 。

　　在經過對該局域網分析之後，發現該局域網中有ARP病毒電腦導致其它電腦訪問網頁時，返回的網頁帶毒，並且該帶毒網頁通過MS06-014和MS07-017漏洞給電腦植入一個木馬下載器，而該木馬下載器又會下載10多個惡性網游木馬，可以盜取包括魔獸世界，傳奇世界，征途，夢幻西游，邊鋒游戲在內的多款網絡游戲的帳號和密碼，對網絡游戲玩家的游戲裝備造成了極大的損失。被ARP病毒電腦篡改的網頁如圖4。

圖4 被ARP病毒插入的惡意網址連接
從圖4中可以看出，局域網中存在這樣的ARP病毒電腦之後，其它客戶機無論訪問什麼網頁，當返回該網頁時，都會被插入一條惡意網址連接，如果用戶沒有打過相應的系統補丁，就會感染木馬病毒。

　　【稍後將為您介紹ARP病毒電腦的定位方法……】