揭開黑金ARP病毒面紗

來源:本站原創 網絡技術 超過664 views圍觀 0條評論

揭開黑金ARP病毒面紗

  黑金ARP病毒欺騙攻擊目的和以往的單純ARP欺騙病毒完全不同,明顯表露出其木馬化的本質。以黑金ARP病毒Backdoor.Win32.ARP.g為例,該病毒的特別之處就是在原有ARP欺騙基礎上,捆綁正常的網絡分析軟件WinPcap,試圖欺騙傳統殺毒軟件,利用WinPcap提供的網絡分析功能,劫持網絡內所有HTTP通信,并且強行在HTTP數據包中插入帶有病毒程序的網頁鏈接,使得局域網內任意一個用戶在訪問正常網頁時,都會自動下載木馬病毒。也就是說,只要局域網內有一臺計算機感染了該木馬,局域網內所有的計算機就都有可能感染上木馬病毒。可見,黑金ARP對局域網危害極大,正可謂是一機中毒,全網“遇難”。理論上如果網內只有一臺計算機中了黑金ARP,那么局域網雖受ARP欺騙影響,但仍尚可維持通信。但是實際上前述的假設在現實中是不成立的,因為只要有一臺計算機中毒,局域網內很快就會發展為多臺計算機中毒,而多臺計算機同時發起ARP欺騙的直接后果就是網絡內計算機互相欺騙,局域網全網通信癱瘓。

 清除黑金ARP病毒,首先要做的就是要徹底清除其毒源。換句話說,如果將病毒源連根拔起清除徹底,局域網自然而然就會恢復正常。如果機器中了黑金ARP病毒,利用一般的殺毒軟件解決此問題,基本上收效甚微,掃描整個系統估計也沒有一個病毒報告出來。那到底該如何對付黑金ARP病毒呢?

  其實事情是很簡單的,所有的黑金ARP病毒都必然具備的一個行為特點就是亂發ARP欺騙數據包,因此采用行為分析技術的主動防御軟件對其會有很好的清除能力。主動防御軟件根據行為分析一旦發現有程序試圖亂發ARP欺騙數據包,立即將其查殺。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=274轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏