病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
26112
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个ARP欺骗病毒,它能向同网段所有计算机发送ARP欺骗数据包,挟持了该网段内的网关,
使经过网关的每个数据包都经过受病毒感染的计算机,该计算机会寻找HTTP响应包,在包内加入
挂马的代码.
1:ARP欺骗
病毒会枚举本计算机所在的网段,并发送经过伪造的ARP(AddressResolutionProtocol)数据包,
挟持了本网段的网关地址,使本网段的所有的数据包都经过该计算机.
2:修改特定数据包
病毒会对所有的数据包进行分析,过滤出HTTP应答包,并在包里面插入一段代码:
使用户看到的网页最前面被插入以上代码,该网页会利用ANI漏洞(MS07-017)下载并运行
木马程序,建议用户及时补上计算机上已知的漏洞.
利用ARP欺骗挂木马并没有真正的修改网页服务器上的页面内容,它是在数据包传输中非法修改里面的数据,
强行插入病毒代码,而且影响范围相当的广,若一个空间服务商的一台服务器中毒,就会使得该服务器所在的网段
的传输的数据包都被修改,很可能会影响到数以百计的网站空间.而且寻找ARP欺骗的源头并不轻易查出,
所以这种攻击方式具有极大的危害性.建议网络治理员使用静态的路由表来治理网络的MAC与IP地址.
