扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2007年6月13日,51CTO从江民公司获悉,江民反病毒中心接到用户孙先生的求助电话,“我们现在局域网中所有用户无论访问哪个网站,杀毒软件都报毒,公司自己网站也被报告感染了病毒。
我们检查后发现在网页上多出了一段代码,但是手工删除代码后一会又出现了,其他网站网页上也有同样的代码,这到底是什么病毒啊?”
江民反病毒专家对该局域网分析后,发现孙先生的网站感染了有局域网“杀手”之称的ARP病毒新变种。该病毒会导致局域网内任意电脑访问网页时,打开的网页都被杀毒软件报告带毒,同时该带毒网页会通过微软的MS06-14和MS07-17两个系统漏洞给电脑植入一个木马下载器,而该木马下载器会下载10多个恶性网游木马,可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏等在内的多款网络游戏帐号及密码,给网络游戏玩家造成了极大的损失。
ARP病毒也叫做ARP地址欺骗类病毒,是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。更为严重的是,近期网上流行的ARP病毒新变种出现了新特征,该类ARP病毒同样是向全网发送伪造的ARP欺骗广播,但病毒把自身伪装成网关,在所有用户请求访问的网页添加恶意代码,导致杀毒软件在用户访问任意网站均发出病毒警报。孙先生的公司局域网正是遭到了该新型ARP病毒的攻击。
ARP病毒新变种的运行原理和发作过程
当局域网中一台电脑S想访问某个网站页面时,这台电脑会先向网关发送访问网页请求,这样,网关就会将该页面下载下来,并发送给S电脑。这时,感染了ARP病毒的另一台A电脑把自身伪装成网关,不停地向全网发送伪造的ARP欺骗广播,这样当S电脑请求WEB网页时,染毒的A电脑先是“好心好意”地将这个页面下载下来,然后发送给S电脑,但是它在返回给S电脑时,会向其中插入恶意网址连接。该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞,向S电脑种植木马病毒,同样,如果局域网内其他的任一台电脑也请求WEB页面的访问,A电脑同样会给其返回带毒的网页,这样顷刻间,整个网段的电脑都会被感染上病毒,甚至沦为黑客手中的僵尸网络。
解决方法
针对该病毒,请立即升级杀毒软件病毒库,实时拦截来自网络上的各种ARP病毒。立即为全网电脑打上MS06-014和MS07-017两个漏洞补丁。建议局域网用户统一部署KV网络版杀毒软件,全网统一防杀 ARP病毒。对于尚未被加入病毒库的ARP病毒新变种,建议用户立即上报江民反病毒中心,同时使用江民杀毒软件“未知病毒扫描”功能,彻底检测出本机中已知和未知的ARP病毒,协助网络管理员快速清除ARP病毒。
此外,江民反病毒中心还针对企业用户特别提供“ARP病毒应急响应服务” ,如遇到自身无法处理的ARP病毒时,江民反病毒工程师可以上门服务,为企业用户快速恢复企业网络,确保数据通讯安全。江民KV新版防火墙特别增加了ARP病毒防御功能,用户也可设置“防御网络攻击”选项,拦截来自局域网中的ARP欺骗数据包,保护本机联网安全。
(关于ARP:ARP全称为Address Resolution Protocol,意为地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者