又见ARP攻击会话劫持挂马的黑客程序

2007-05-17 作者:bitsCN整理来源:中国网管联盟点评 投稿 收藏

病毒详细信息
　　病毒全名 Win32.Hack.ArpSpoon.h
　　病毒长度 26112
　　威胁级别 ★★
　　病毒类型黑客程序
　　病毒简介
　　这是一个ARP欺骗病毒，它能向同网段所有计算机发送ARP欺骗数据包，挟持了该网段内的网关，使经过网关的每个数据包都经过受病毒感染的计算机，该计算机会寻找HTTP响应包，在包内加入挂马的代码。
　　技术细节
　　1、ARP欺骗
　　病毒会枚举本计算机所在的网段，并发送经过伪造的ARP(Address Resolution Protocol)数据包，挟持了本网段的网关地址，使本网段的所有的数据包都经过该计算机。
　　2、修改特定数据包
　　病毒会对所有的数据包进行分析，过滤出HTTP应答包，并在包里面插入一段代码，使用户看到的网页最前面被插入以上代码，该网页会利用ANI漏洞(MS07-017)下载并运行木马程序，建议用户及时补上计算机上已知的漏洞。
　　注：
　　利用ARP欺骗挂木马并没有真正的修改网页服务器上的页面内容，它是在数据包传输中非法修改里面的数据，强行插入病毒代码，而且影响范围相当的广，若一个空间服务商的一台服务器中毒，就会使得该服务器所在的网段的传输的数据包都被修改，很可能会影响到数以百计的网站空间。而且寻找ARP欺骗的源头并不容易查出，所以这种攻击方式具有极大的危害性。建议网络管理员使用静态的路由表来管理网络的MAC与IP地址。

网管u家u.bitsCN.com

顶一下

TAGs：黑客程序攻击病毒数据 ARP 欺骗 计算机 经过修改

上一篇：无耻的“巴尔流氓”擅自安装广告软件下一篇：病毒播报：木马病毒“泡泡”和“金盾”

又见ARP攻击会话劫持挂马的黑客程序

2007-05-17 作者:bitsCN整理 来源:中国网管联盟 点评 投稿 收藏

2007-05-17 作者:bitsCN整理来源:中国网管联盟点评投稿收藏