警惕“黑金”造成局域网病毒大爆发 - 病毒木马 - - 网络安全

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 网络安全 » 病毒木马 » 警惕“黑金”造成局域网病毒大爆发 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

ntxzgaj

技术员

帖子 65
精华 0
无忧币 1744
积分 698
阅读权限 30
来自 (保密)

注册日期 2006-5-13

最后登录 2008-8-27

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2008-4-20 12:46　　标题：警惕“黑金”造成局域网病毒大爆发
＜上一帖 | 下一帖＞

前几日发现访问本单位的服务器上任一网页均会发现木马连接，查看IE源代码或把服务器上的源文件下载到本地均可见网页文件最下一行(iframe src=http://wb.qq-services.cn/2.htm width=0 height=0) 指向木马下载网站,然后自然就是去服务器清理网页文件了，可是找遍了所有的文件就是没有看见这样的木马连接源码，前几天还是debooo.com的,今天就又变了,时隔一个星期而已,看来这个病毒真的是太顽固了。这就是为什么有网友提问为什么他找不到毒源的原因，下面有详细说明。请往下看。

黑金ARP为恶作伥　木马传播进入倍增时代

打开网站任意一个页面，微点主动防御软件都会报警提示发现未知木马。据悉，网页被挂马是黑客们惯用的一种“种植木马”的手段，但与以往不同，近期这些被挂马网站的典型特点不是单独一个页面被挂马，而是网站任意一个页面均被挂上了木马。经过微点反病毒专家进行技术分析得知，该情况与通过入侵网站服务器进行网页挂马的传统手段有很大的不同，而是通过一种新型的“黑金ARP”欺骗攻击手段。利用这一手段，可使病毒的传播速度呈数十倍的增长，危害极大。
据微点反病毒专家介绍，这种新型的“黑金ARP”欺骗攻击手段实为一种带有浓郁牟利色彩的新型木马传播手段。利用此类“黑金ARP”欺骗攻击手段，可以对病毒实现较为快速的传播，已成为黑客赚取黑金的聚宝盆。
“黑金ARP”最大的特征是：一机中毒，全网遇难。而诸如上述某些知名网站被挂马的原因，实际上并非网站本身被挂上了木马。通常较为知名网站的服务器安全都具有较好保障，但多数网站采取服务器托管，而托管机房的局域网环境则情况复杂。而一旦托管机房网络中任意一台计算机感染该木马，借助“黑金ARP”欺骗与劫持相结合的典型技术特点，通过网络内其他服务器以“四两拨千斤”之势便可以不费吹灰之力形成迅速的传播能力。比传统网页木马更可怕的是，“黑金ARP”一是利用广大网民对知名网站的信任，容易放松警惕；二是利用了知名网站本身具有的巨大流量，举手之间就可将木马散布于数十乃至数百万网民之中。同时，“黑金ARP”木马更可以实现实时动态变换挂马网页，使得网民在短时间内就会被大量多种木马病毒感染，令人防不胜防。
随后，微点反病毒专家向记者较为详细地介绍了此类“黑金ARP欺骗”手段的原理：简单来说，早期“ARP欺骗”攻击的目的，多用来干扰用户正常通讯。此类“ARP欺骗”病毒通过向其他计算机发送虚假的MAC数据，扰乱网络正常的通讯秩序，产生一系列通讯故障。而近期微点主动防御软件自动捕获的Backdoor.Win32.ARP.a则具有了较为明显的牟利意图。该病毒（Backdoor.Win32.ARP.a）的特别之处在于，在原有“ARP欺骗”基础上，捆绑正常的网络分析软件WinPcap，试图欺骗传统杀毒软件，利用WinPcap提供的网络分析功能，劫持网络内所有HTTP通讯，并且强行在HTTP数据包中插入带有病毒程序的网页链接，使得用户在访问正常网页时，自动下载木马病毒。也就是说，只要机房中有一台服务器感染该木马，机房内所有的服务器（例如上文某些知名网站）被访问时，访问者的电脑都有可能被感染上木马病毒。早期“ARP欺骗”受影响的主要是企业局域网用户，而“黑金ARP”采用劫持用户访问网站服务器数据包并强行插入木马病毒自动下载链接的手段，使得互联网用户都存在潜在的威胁。
随着近期微点主动防御软件自动捕获的“黑金ARP”欺骗类木马数量显著增加，可以看到，此类木马的危害正在日益加大，同时，该木马具有实时动态变换挂马网页和木马病毒的特点，对互联网用户的安全威胁极大，令人防不胜防。因此，建议广大用户安装使用具有主动防御功能的安全软件，主动防御软件特有的行为杀毒技术，针对此类复杂多变的木马程序也有较好的清除能力。在发现您的计算机出现异常情况时，请即时与专业的反病毒公司联系处理，以免造成更为严重的损失。

“黑金ARP”（Backdoor.Win32.ARP.g）
“黑金ARP”（Backdoor.Win32.ARP.g）
该病毒是一个使用delphi编写的病毒程序，采用FSG 2.0加壳以躲过特征码扫描，加壳后长度177,425字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为网页挂马，文件捆绑，会话劫持。　

病毒分析

　　当病毒被激活后，在%systemroot%\system32下生成用于ARP欺骗作用的PACKER.DLL,WANPACKET.DLL和WPCAP.DLL 文件；在%systemroot%\system32\drivers下生成svchost.exe，scvhost.exe和npf.sys文件；在注册表HKLM的Run下新建子项crsss，其值为“%systemroot%\system32\drivers\svchost.exe”，以达到病毒自启动的目的；通过SCM将npf.sys为注册为驱动以实现数据包封装；通过命令行启动scvhost.exe，向特定网段（如：从192.168.0.1到192.168.0.255）通过抓包封包的手段发送带有ARP欺骗代码的数据包，使得局域网用户访问正常网页也会无形中访问到病毒木马的网页，从而不知不觉中已从这些网页中下载并运行了木马病毒程序。

技术细节

该病毒指向的木马网页为：
http://xxx.***.biz/error.htm

病毒添加的注册表项：
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：KVP
指向文件：%systemroot%\system32\drivers\svchost.exe

项：HKLM\SYSTEM\CurrentControlSet\Services\NPF
键值：ImagePath
指向文件：%systemroot% \system32\drivers\npf.sys

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Backdoor.Win32.ARP.g”，请直接选择删除。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启windows自动更新，及时打好漏洞补丁。

局域网中ARP病毒的清除

1.打开AntiArp Sniffer，检查右侧【管理】栏内是否自动获取了网关地址，如果没获取，则手动输入网关地址，再单击【枚取MAC】。MAC地址获取后再单击【自动保护】即可！如图：

此主题相关图片如下：

2.运行一段时间后，若弹出提示说“发现ARP欺骗数据包”，则可以在“欺骗数据详细记录”看到“欺骗机MAC地址”既是中了ARP病毒机器的地址。

3.到http://download.pchome.net/internet/safe/13190.html下载“网络执法官”。在“指定监控范围”中输入局域网的IP地址段，再单击“添加/修改”按钮。添加完成后点下方的【确定】，返回到主界面，就可以看到各个2电脑的内网IP 、用户名、mac地址。此时只要找到与上面查到的MAC地址对应的内网IP就知道是哪台计算机中了ARP病毒了！

4.下载tsc.rar复制到中ARP病毒的机器上，解压tsc.rar，然后运行其中的TSC.EXE，扫描完毕后即可清除感染的ARP病毒！

如果是单机用户，您如果怀疑您中了ARP病毒，只需要执行第4步中的步骤即可！

以上都是今天在网上所看到的，联系自己所遇问题，把它们串联在一起，大家探讨一下。看看有什么办法能够解决这该死的木马。
上次星期天出现总题，今次又是星期天，天，和我过不去了哇。