您当前的位置: 病毒详细信息
病毒全名 Win32.Hack.ArpSpoon.h
病毒长度 26112
威胁级别 ★★
病毒类型 黑客程序
病毒简介
这是一个ARP欺骗病毒,它能向同网段所有计算机发送ARP欺骗数据包,挟持了该网段内的网关,使经过网关的每个数据包都经过受病毒感染的计算机,该计算机会寻找HTTP响应包,在包内加入挂马的代码。
技术细节
1、ARP欺骗
病毒会枚举本计算机所在的网段,并发送经过伪造的ARP(Address Resolution Protocol)数据包,挟持了本网段的网关地址,使本网段的所有的数据包都经过该计算机。
2、修改特定数据包
病毒会对所有的数据包进行分析,过滤出HTTP应答包,并在包里面插入一段代码,使用户看到的网页最前面被插入以上代码,该网页会利用ANI漏洞(MS07-017)下载并运行木马程序,建议用户及时补上计算机上已知的漏洞。
注:
利用ARP欺骗挂木马并没有真正的修改网页服务器上的页面内容,它是在数据包传输中非法修改里面的数据,强行插入病毒代码,而且影响范围相当的广,若一个空间服务商的一台服务器中毒,就会使得该服务器所在的网段的传输的数据包都被修改,很可能会影响到数以百计的网站空间。而且寻找ARP欺骗的源头并不容易查出,所以这种攻击方式具有极大的危害性。建议网络管理员使用静态的路由表来管理网络的MAC与IP地址。
病毒全名 Win32.Hack.ArpSpoon.h
病毒长度 26112
威胁级别 ★★
病毒类型 黑客程序
病毒简介
这是一个ARP欺骗病毒,它能向同网段所有计算机发送ARP欺骗数据包,挟持了该网段内的网关,使经过网关的每个数据包都经过受病毒感染的计算机,该计算机会寻找HTTP响应包,在包内加入挂马的代码。
技术细节
1、ARP欺骗
病毒会枚举本计算机所在的网段,并发送经过伪造的ARP(Address Resolution Protocol)数据包,挟持了本网段的网关地址,使本网段的所有的数据包都经过该计算机。
2、修改特定数据包
病毒会对所有的数据包进行分析,过滤出HTTP应答包,并在包里面插入一段代码,使用户看到的网页最前面被插入以上代码,该网页会利用ANI漏洞(MS07-017)下载并运行木马程序,建议用户及时补上计算机上已知的漏洞。
注:
利用ARP欺骗挂木马并没有真正的修改网页服务器上的页面内容,它是在数据包传输中非法修改里面的数据,强行插入病毒代码,而且影响范围相当的广,若一个空间服务商的一台服务器中毒,就会使得该服务器所在的网段的传输的数据包都被修改,很可能会影响到数以百计的网站空间。而且寻找ARP欺骗的源头并不容易查出,所以这种攻击方式具有极大的危害性。建议网络管理员使用静态的路由表来管理网络的MAC与IP地址。
