萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 專家解讀APR病毒(二)

專家解讀APR病毒(二)

  【編者按:前文,我們講述了ARP病毒的原理,這裡我們向大家介紹ARP病毒新的表現形式及相關案例。】

  四、ARP病毒新的表現形式

  由於現在的網絡游戲數據包在發送過程中,均已采用了強悍的加密算法,因此這類ARP病毒在解密數據包的時候遇到了很大的難度。現在又新出現了一種ARP病毒,與以前的一樣的是,該類ARP病毒也是向全網發送偽造的ARP欺騙廣播,自身偽裝成網關。但區別是,它著重的不是對網絡游戲數據包的解密,而是對於HTTP請求訪問的修改。

  HTTP是應用層的協議,主要是用於WEB網頁訪問。還是以上面的局域網環境舉例,如果局域網中一台電腦S要請求某個網站頁面,如想請求www.sina.com.cn這個網頁,這台電腦會先向網關發送HTTP請求,說:“我想登陸www.sina.com.cn網頁,請你將這個網頁下載下來,並發送給我。”這樣,網關就會將www.sina.com.cn頁面下載下來,並發送給S電腦。這時,如果A這台電腦通過向全網發送偽造的ARP欺騙廣播,自身偽裝成網關,成為一台ARP中毒電腦的話,這樣當S電腦請求WEB網頁時,A電腦先是“好心好意”地將這個頁面下載下來,然後發送給S電腦,但是它在返回給S電腦時,會向其中插入惡意網址連接!該惡意網址連接會利用MS06-014和MS07-017等多種系統漏洞,向S電腦種植木馬病毒!同樣,如果D電腦也是請求WEB頁面訪問,A電腦同樣也會給D電腦返回帶毒的網頁,這樣,如果一個局域網中存在這樣的ARP病毒電腦的話,頃刻間,整個網段的電腦將會全部中毒!淪為黑客手中的僵屍電腦!

  案例:

  某企業用戶反映,其內部局域網用戶無論訪問那個網站,KV殺毒軟件均報病毒:Exploit.ANIfile.o 。

  在經過對該局域網分析之後,發現該局域網中有ARP病毒電腦導致其它電腦訪問網頁時,返回的網頁帶毒,並且該帶毒網頁通過MS06-014和MS07-017漏洞給電腦植入一個木馬下載器,而該木馬下載器又會下載10多個惡性網游木馬,可以盜取包括魔獸世界,傳奇世界,征途,夢幻西游,邊鋒游戲在內的多款網絡游戲的帳號和密碼,對網絡游戲玩家的游戲裝備造成了極大的損失。被ARP病毒電腦篡改的網頁如圖4。

  

圖4 被ARP病毒插入的惡意網址連接
從圖4中可以看出,局域網中存在這樣的ARP病毒電腦之後,其它客戶機無論訪問什麼網頁,當返回該網頁時,都會被插入一條惡意網址連接,如果用戶沒有打過相應的系統補丁,就會感染木馬病毒。

  【稍後將為您介紹ARP病毒電腦的定位方法……】

copyright © 萬盛學電腦網 all rights reserved