微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 想起以前看到的一个剧毒变种ARP  

作者:
标题: 想起以前看到的一个剧毒变种ARP
rei1985318
新手上路





积分 19
发帖 19
注册 2007-12-20
#1  想起以前看到的一个剧毒变种ARP

想起今年初还在大学的时候碰到的剧毒ARP病毒。。。
在局域网内,一台机子感染,就会劫持整个网段内所有过网关的HTTP数据,然后访问任何地址都会被指向一个有毒的网页,自动下载木马。
当时用卡巴6,还好,没有中毒。查看所有打开的网页源代码,都可以看到文件头被加了一个网址...

碰到这种病毒怎么办?除了每台机杀毒以外。。。一个子网里面有上百台机子还在不同楼层....

※ ※ ※ 本文纯属【rei1985318】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-20 17:27
查看资料  发送邮件  发短消息   编辑帖子
rei1985318
新手上路





积分 19
发帖 19
注册 2007-12-20
#2  

抛砖引玉一下。讨论一下吧

※ ※ ※ 本文纯属【rei1985318】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-20 17:28
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#3  

这种属于arp病毒!一个子网里面有上百台机子你必须找出病毒源是那个!我介绍你一个用微点查并用微点杀的办法!

1.找其中一台机器装上微点!利用微点的mac地址绑定扫描将全网的mac地址扫出

2.然后打开cmd并ping一下你们的网关。比如你的网关是192.168.1.1 之后输入arp -a  查找192.168.1.1对应的mac地址  

3.将你查到的192.168.1.1的mac地址与微点扫出的全网地址做对比,找到和这个mac地址一样的ip地址,比如你找到192.168.1.111的mac地址与你在arp -a 查192.168.1.1的mac地址一样  则证明该ip地址是欺骗者

4.通过对应的ip找到那台机器装上微点,微点将自动报警并清除该arp木马。或者也可以将该机器网线拔掉重做系统

5.清空你本地机器的网页浏览器缓存和arp缓存,用arp -d即可清除。

经过此五步应该可以搞定!呵呵!微点功能强大,其实很多地方可以利用和挖掘的!

[ Last edited by lotei on 2007-12-20 at 23:15 ]

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


让自己更加睿智,其实看透了!你就放下了!
2007-12-20 23:12
查看资料  发送邮件  发短消息   编辑帖子
rei1985318
新手上路





积分 19
发帖 19
注册 2007-12-20
#4  

唔。。。但是我觉得这个病毒貌似和普通ARP不一样。因为你要打开的网页还是能打开的。
例如我输入www.163.com。访问163没问题,但是它会静默的指向一个网址下载木马(不会打开网页),所以好像只有HTTP流量监控才能发现危险。一般的ARP是直接劫持过去了吧?这个貌似只是往你的HTTP流里面加东西。

唔。。。病毒研究不多。。。学习一下。

※ ※ ※ 本文纯属【rei1985318】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-21 01:12
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#5  

是的对于这类的劫持http的arp病毒,是利用欺骗网关的方式,将数据包先欺骗到中毒机器上,中毒机器会通过驱动实现数据包封装,通过抓包封包的手段强行劫持局域网中HTTP会话,将木马脚本强行插入HTTP数据流再转发给局域网的机器。但说到底他还是需要欺骗。

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


让自己更加睿智,其实看透了!你就放下了!
2007-12-21 09:34
查看资料  发送邮件  发短消息   编辑帖子
rei1985318
新手上路





积分 19
发帖 19
注册 2007-12-20
#6  

恩是这样啊。不过记得当时我好像是绑定了网关的...奇怪

※ ※ ※ 本文纯属【rei1985318】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-21 12:41
查看资料  发送邮件  发短消息   编辑帖子
freedom11
版主

电脑&数码区版主


积分 1212
发帖 1139
注册 2007-11-6
#7  

需要双向绑定,才能达到效果

※ ※ ※ 本文纯属【freedom11】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


2007-12-24 16:22
查看资料  发短消息   编辑帖子
不知不觉
注册用户





积分 70
发帖 70
注册 2007-12-18
#8  

讨论下,ARP究竟有多厉害

※ ※ ※ 本文纯属【不知不觉】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-12-24 19:23
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号