|
|
|
 |
|
黑金ARP為惡作倀 木馬傳播進入倍增“時代”
|
|
來源:北方網 2007-11-10 16:04:52
|
|
近期,東方微點公司頻頻接到用戶舉報稱多家知名網站被掛馬,打開網站任意一個頁面,微點主動防御軟件都會報警提示發現未知木馬。據悉,網頁被掛馬是黑客們慣用的一種“種植木馬”的手段,但與以往不同,近期這些被掛馬網站的典型特點不是單獨一個頁面被掛馬,而是網站任意一個頁面均被掛上了木馬。經過微點反病毒專家進行技術分析得知,該情況與通過入侵網站服務器進行網頁掛馬的傳統手段有很大的不同,而是通過一種新型的“黑金ARP”欺騙攻擊手段。利用這一手段,可使病毒的傳播速度呈數十倍的增長,危害極大。 據微點反病毒專家介紹,這種新型的“黑金ARP”欺騙攻擊手段實為一種帶有濃郁牟利色彩的新型木馬傳播手段。利用此類“黑金ARP”欺騙攻擊手段,可以對病毒實現較為快速的傳播,已成為黑客賺取黑金的聚寶盆。 “黑金ARP”最大的特征是:一機中毒,全網遇難。而諸如上述某些知名網站被掛馬的原因,實際上并非網站本身被掛上了木馬。通常較為知名網站的服務器安全都具有較好保障,但多數網站采取服務器托管,而托管機房的局域網環境則情況復雜。而一旦托管機房網絡中任意一臺計算機感染該木馬,借助“黑金ARP”欺騙與劫持相結合的典型技術特點,通過網絡內其他服務器以“四兩撥千斤”之勢便可以不費吹灰之力形成迅速的傳播能力。比傳統網頁木馬更可怕的是,“黑金ARP”一是利用廣大網民對知名網站的信任,容易放松警惕;二是利用了知名網站本身具有的巨大流量,舉手之間就可將木馬散布于數十乃至數百萬網民之中。同時,“黑金ARP”木馬更可以實現實時動態變換掛馬網頁,使得網民在短時間內就會被大量多種木馬病毒感染,令人防不勝防。 隨后,微點反病毒專家向記者較為詳細地介紹了此類“黑金ARP欺騙”手段的原理:簡單來說,早期“ARP欺騙”攻擊的目的,多用來干擾用戶正常通訊。此類“ARP欺騙”病毒通過向其他計算機發送虛假的MAC數據,擾亂網絡正常的通訊秩序,產生一系列通訊故障。而近期微點主動防御軟件自動捕獲的Backdoor.Win32.ARP.a則具有了較為明顯的牟利意圖。該病毒(Backdoor.Win32.ARP.a)的特別之處在于,在原有“ARP欺騙”基礎上,捆綁正常的網絡分析軟件WinPcap,試圖欺騙傳統殺毒軟件,利用WinPcap提供的網絡分析功能,劫持網絡內所有HTTP通訊,并且強行在HTTP數據包中插入帶有病毒程序的網頁鏈接,使得用戶在訪問正常網頁時,自動下載木馬病毒。也就是說,只要機房中有一臺服務器感染該木馬,機房內所有的服務器(例如上文某些知名網站)被訪問時,訪問者的電腦都有可能被感染上木馬病毒。早期“ARP欺騙”受影響的主要是企業局域網用戶,而“黑金ARP”采用劫持用戶訪問網站服務器數據包并強行插入木馬病毒自動下載鏈接的手段,使得互聯網用戶都存在潛在的威脅。 隨著近期微點主動防御軟件自動捕獲的“黑金ARP”欺騙類木馬數量顯著增加,可以看到,此類木馬的危害正在日益加大,同時,該木馬具有實時動態變換掛馬網頁和木馬病毒的特點,對互聯網用戶的安全威脅極大,令人防不勝防。因此,建議廣大用戶安裝使用具有主動防御功能的安全軟件,主動防御軟件特有的行為殺毒技術,針對此類復雜多變的木馬程序也有較好的清除能力。在發現您的計算機出現異常情況時,請即時與專業的反病毒公司聯系處理,以免造成更為嚴重的損失。 |
