當網域中有一台電腦中了 161816 病毒之後,所有同網域中的電腦都會受到影響。此病毒為 ARP 病毒,會發出 ARP 封包「欺騙」網域中其他正常的電腦,說它自己就是 gateway。所有封包流量都透過這台gateway的話,駭客就可利封包擷取工具抓取機敏資料。
先介紹一下何謂ARP〈Address Resolution Protocol〉
ARP是負責將IP位址轉換成Mac位址的一種通訊協定,當某一台電腦要傳送資料到某個IP位址時,會先傳送ARP封包詢問網路上哪台電腦的MAC Address對應到這個IP位址,當目的端的電腦接收到這個ARP封包之後便會回應給來源電腦進行資料傳送。
若要查看本機的ARP Cache,可在命令提示字元中執行ARP -a。
那什麼是ARP攻擊?〈ARP Poisoning、ARP Spoofing〉
發送一個假的ARP封包竄改ARP Cache使得資料無法正確傳輸到目的地,造成網路無法連結,便稱作ARP攻擊。由於一般的ARP Cache是根據經過的ARP封包不斷的變更本身的ARP列表,假設接收到的ARP封包所提供的資料是偽造的,就會讓資料無法傳輸到實際的目的地。甚至可能因為資料導向某特定電腦,駭客可利用病毒竊取封包資料或修改封包內容。
假設Host B中了ARP病毒,它發送一個假的ARP封包給Switch,告訴Swich說192.168.1.1對應的Mac位址是Host B的Mac Address,原本192.168.1.1對應的Mac Address是Router,這時候就會被修改成錯誤的Mac位址。
當Host A要發送HTTP request到192.168.1.1時,經過Swich的時候查看ARP Cache發現192.168.1.1對應到的是Host B的Mac Address,此時資料就會傳送給Host B,而不會傳送到Router,所以Host A就可能無法連上網路。
中161816.com ARP病毒的特徵:
打開網頁時首頁自動連接 hxxp://www.161816.com/www.htm 或 hxxp://www.112161.com/www.htm網頁,然後IE就像死當了一樣,而且一會兒就彈出「虛擬記憶體太低」的訊息,導致系統過慢最後當機。
如何找出感染ARP病毒的電腦
使用arp -a的指令
上圖的ARP Cache有三個IP均指向同一個Mac Address,表示這個Mac Address實際對應的電腦可能感染了ARP病毒。
清除方法1:
這是 Windows 系統的一個很嚴重的 bug,微軟也出了修補程式。
1.首先在"安全模式下"刪除IE屬性的 [Cookie] 與 [Temporary Internet Files] 和 [清除歷史記錄]
2.更新微軟的修補程式.
3.更新完畢請重新開機.
Microsoft 安全性公告 MS06-014:
Microsoft 安全性公告 MS07-017:
PS:找到與你 Windows 作業系統相對的版本下載修補程式即可.
清除方法2:
新型ARP變種病毒 161816 & 112161 清除程式下載位置
下載完成,解壓縮檔案後直接執行[ARPVirus_Clear.exe],執行完畢請馬上重新開機,病毒即清除完成…^^
預防方法:
ARP變種病毒可能連接的網頁如下,請利用防火牆封鎖:
沒有留言:
張貼留言
如您對本文有任何建議或意見,歡迎您留下您寶貴的意見!