所有网站都带毒?
6月13日,江民反病毒中心接到用户孙先生的求助电话,“我们现在局域网中所有用户无论访问哪个网站,杀毒软件都报毒,公司自己网站也被报告感染了病毒。我们检查后发现在网页上多出了一段代码,但是手工删除代码后一会又出现了,其他网站网页上也有同样的代码,这到底是什么病毒啊”。
江民反病毒专家对该局域网分析后,发现孙先生的网站感染了有局域网“杀手”之称的ARP病毒新变种。该病毒会导致局域网内任意电脑访问网页时,打开的网页都被杀毒软件报告带毒,同时该带毒网页会通过微软的MS06-14和MS07-17两个系统漏洞给电脑植入一个木马下载器,而该木马下载器会下载10多个恶性网游木马,可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏等在内的多款网络游戏帐号及密码,给网络游戏玩家造成了极大的损失。
江民反病毒专家介绍,ARP病毒也叫做ARP地址欺骗类病毒,是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
原来是ARP病毒搞怪
ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。更为严重的是,近期网上流行的ARP病毒新变种出现了新特征,该类ARP病毒同样是向全网发送伪造的ARP欺骗广播,但病毒把自身伪装成网关,在所有用户请求访问的网页添加恶意代码,导致杀毒软件在用户访问任意网站均发出病毒警报。孙先生的公司局域网正是遭到了该新型ARP病毒的攻击。
江民反病毒专家描述了ARP病毒新变种的运行原理和发作过程。当局域网中一台电脑S想访问某个网站页面时,这台电脑会先向网关发送访问网页请求,这样,网关就会将该页面下载下来,并发送给S电脑。这时,感染了ARP病毒的另一台A电脑把自身伪装成网关,不停地向全网发送伪造的ARP欺骗广播,这样当S电脑请求WEB网页时,染毒的A电脑先是“好心好意”地将这个页面下载下来,然后发送给S电脑,但是它在返回给S电脑时,会向其中插入恶意网址连接。该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞,向S电脑种植木马病毒,同样,如果局域网内其他的任一台电脑也请求WEB页面的访问,A电脑同样会给其返回带毒的网页,这样顷刻间,整个网段的电脑都会被感染上病毒,甚至沦为黑客手中的僵尸网络。
目前,江民科技已经接到多家企事业单位用户感染该病毒的求助报告。针对该病毒,江民反病毒专家建议,立即升级杀毒软件病毒库,实时拦截来自网络上的各种ARP病毒。立即为全网电脑打上MS06-014和MS07-017两个漏洞补丁。建议局域网用户统一部署KV网络版杀毒软件,全网统一防杀 ARP病毒。对于尚未被加入病毒库的ARP病毒新变种,建议用户立即上报江民反病毒中心,同时使用江民杀毒软件“未知病毒扫描”功能,彻底检测出本机中已知和未知的ARP病毒,协助网络管理员快速清除ARP病毒。
此外,江民反病毒中心还针对企业用户特别提供“ARP病毒应急响应服务” ,如遇到自身无法处理的ARP病毒时,江民反病毒工程师可以上门服务,为企业用户快速恢复企业网络,确保数据通讯安全。江民KV新版防火墙特别增加了ARP病毒防御功能,用户也可设置“防御网络攻击”选项,拦截来自局域网中的ARP欺骗数据包,保护本机联网安全。
(关于ARP:ARP全称为Address Resolution Protocol,意为地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。)
网友评论