| |
近日,安天实验室反病毒检测网发现,全国各地出现在局域网内浏览网页,浏览器自动
加载hxxp://16a.us/2.js (病毒名:Trojan-Downloader.JS.Agent.gd)这个脚本的现象。通过
分析,这是由近期活跃的恶意网址7y7.us & ws91.com使用具有ARP欺骗功能的病毒传播恶意
代码引起的。
当用户主机访问正常的网页时,感染病毒的主机都将向其发送包含恶意代码(大多为盗
窃敏感信息的盗号木马)的数据包。通过此种方式,当用户访问任何网页时,浏览器都会试图
执行这些恶意代码,因此具有很大的危害性。同时,为躲避反病毒软件的脚本检测,该病毒进
行了免杀处理,造成大多数反病毒软件无法拦截。
本次连续恶意事件是由一个小型组织所维护,其开始阶段采用入侵一些有安全漏洞的网站
的方式挂马传播病毒,其经常使用7y7.us & ws91.com这两个域名存放木马,在安全厂商采取
了一些措施后,其开始采用释放具有ARP欺骗功能的病毒,通过发送包含恶意代码的数据包的
方式,试图感染局域网内的主机。
安天病毒分析工程师建议广大网络用户采用下列策略应对本次病毒事件:
1.使用安天实验室推出的免费ARP欺骗检测工具(ARP Checker),可以方便的定位引起
ARP欺骗的主机。
2.使用安天主机保护系统、木马防线对该病毒及其下载的各种恶意代码进行查杀,请
用户立即升级病毒库。
3.网络采用静态的方式配置ARP表,不要使用动态ARP。
4.企业内部应采用私有加密协议的方式,避免出现问题。
5.企业网管人员可借助于网络分析工具,对局域网内流量进行抓包分析,对于网卡处于混
杂模式的主机应重点注意。同时,网管应保存企业内部IP和MAC对照表,这样当出现问
题时,将很容易判断有那些主机IP和MAC对照关系发生改变。
6.企业网内屏蔽对www.nice8.org,16a.us,7y7.us等恶意域名的访问,个人用户可在
主机HOST列表中屏蔽这些域名。
ARP欺骗的危害:
一、可以影响正常的网络应用,经常出现的因为ARP导致的大规模断网事件,就是因为这
样的情况造成的。
二、经济利益的原因,现在很多盗号木马,都包含ARP欺骗的功能,进行了欺骗后,局域
网内用户的网络游戏,网上银行,QQ等的登陆信息都将发送到这台染毒的主机,病毒
只需进行数据的收集,就可以盗取这些信息。
三、传播病毒,此次出现的浏览器弹出hxxp://16a.us/2.js这个现象,就是为了在局域网中
传播其他恶意代码。攻击者,可能无法攻击有较好防御,漏洞较少的访问量大的门户网
站。但其可以攻击与其服务器处在同一局域网内的主机,散布具有ARP欺骗功能的病
毒,通过此种方式,其并不需要修改网页服务器上的页面内容,只需要在正常的数据包
传输中修改里面的数据,就可以使访问这些网站的主机,感染病毒. 若处在同一局域网
的一台服务器中毒,就会使得该服务器所在的整个局域网内传输的数据包都被修改,服
务器越多影响越大.
|
内容:
病毒上报信箱: