移动安全 安全管理 应用案例网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 网络威胁 >

专家解读APR病毒(二)

时间:2011-05-03 15:15来源: 点击:
ARP地址欺骗类病毒(以下简称arp病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。
Tags黑客攻防(516)APR病毒(14)  

  四、新的表现形式

  由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类arp在解密数据包的时候遇到了很大的难度。现在又新出现了一种arp病毒,与以前的一样的是,该类arp病毒也是向全网发送伪造的欺骗广播,自身伪装成。但区别是,它着重的不是对网络游戏数据包的解密,而是对于HTTP请求访问的修改。

  HTTP是应用层的协议,主要是用于WEB网页访问。还是以上面的环境举例,如果局域网中一台电脑S要请求某个网站页面,如想请求www.sina.com.cn这个网页,这台电脑会先向网关发送HTTP请求,说:“我想登陆www.sina.com.cn网页,请你将这个网页下载下来,并发送给我。”这样,网关就会将www.sina.com.cn页面下载下来,并发送给S电脑。这时,如果A这台电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当S电脑请求WEB网页时,A电脑先是“好心好意”地将这个页面下载下来,然后发送给S电脑,但是它在返回给S电脑时,会向其中插入恶意网址连接!该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞,向S电脑种植!同样,如果D电脑也是请求WEB页面访问,A电脑同样也会给D电脑返回带毒的网页,这样,如果一个局域网中存在这样的arp病毒电脑的话,顷刻间,整个网段的电脑将会全部中毒!沦为手中的僵尸电脑!

  案例:

  某用户反映,其内部局域网用户无论访问那个网站,KV均报病毒:Exploit.ANIfile.o 。

  在经过对该局域网分析之后,发现该局域网中有arp病毒电脑导致其它电脑访问网页时,返回的网页带毒,并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个下载器,而该木马下载器又会下载10多个恶性网游木马,可以盗取包括,传奇世界,征途,梦幻西游,边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备造成了极大的损失。被arp病毒电脑篡改的网页如图4。

  图4 被arp病毒插入的恶意网址连接

  从图4中可以看出,局域网中存在这样的arp病毒电脑之后,其它客户机无论访问什么网页,当返回该网页时,都会被插入一条恶意网址连接,如果用户没有打过相应的系统补丁,就会感染木马病毒。

------分隔线----------------------------

推荐内容