瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 经典好文 专家解读APR病毒(二)

1   1  /  1  页   跳转

经典好文 专家解读APR病毒(二)

经典好文 专家解读APR病毒(二)

四、ARP病毒新的表现形式
由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,它着重的不是对网络游戏数据包的解密,而是对于HTTP请求访问的修改。
HTTP是应用层的协议,主要是用于WEB网页访问。还是以上面的局域网环境举例,如果局域网中一台电脑S要请求某个网站页面,如想请求www.sina.com.cn这个网页,这台电脑会先向网关发送HTTP请求,说:“我想登陆www.sina.com.cn网页,请你将这个网页下载下来,并发送给我。”这样,网关就会将www.sina.com.cn页面下载下来,并发送给S电脑。这时,如果A这台电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当S电脑请求WEB网页时,A电脑先是“好心好意”地将这个页面下载下来,然后发送给S电脑,但是它在返回给S电脑时,会向其中插入恶意网址连接!该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞,向S电脑种植木马病毒!同样,如果D电脑也是请求WEB页面访问,A电脑同样也会给D电脑返回带毒的网页,这样,如果一个局域网中存在这样的ARP病毒电脑的话,顷刻间,整个网段的电脑将会全部中毒!沦为黑客手中的僵尸电脑!
案例:
某企业用户反映,其内部局域网用户无论访问那个网站,KV杀毒软件均报病毒:Exploit.ANIfile.o 。
在经过对该局域网分析之后,发现该局域网中有ARP病毒电脑导致其它电脑访问网页时,返回的网页带毒,并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个木马下载器,而该木马下载器又会下载10多个恶性网游木马,可以盗取包括魔兽世界,传奇世界,征途,梦幻西游,边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备造成了极大的损失。被ARP病毒电脑篡改的网页如图4。

图4 被ARP病毒插入的恶意网址连接
从图4中可以看出,局域网中存在这样的ARP病毒电脑之后,其它客户机无论访问什么网页,当返回该网页时,都会被插入一条恶意网址连接,如果用户没有打过相应的系统补丁,就会感染木马病毒。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
分享到:
gototop
 

回复:经典好文 专家解读APR病毒(二)

学习了!LZ辛苦啦!
既然选择了远方,便只顾风雨兼程;既然目标是的地平线,留给世界的只能是背影!
gototop
 

回复:经典好文 专家解读APR病毒(二)

的确很强悍,很厉害
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT