ARP魔鬼”專(zhuān)攻局域網(wǎng) “毒瘤”借迅雷漏洞傳播

gao0907

ARP魔鬼”專(zhuān)攻局域網(wǎng) “毒瘤”借迅雷漏洞傳播
    根據(jù)江民反病毒中心監(jiān)測(cè)統(tǒng)計(jì)，2008年5月19日到2008年5月25日，江民反病毒中心共截獲病毒29521種，全國(guó)共有617413臺(tái)計(jì)算機(jī)感染了病毒，較上周下降了8.72%。
   監(jiān)測(cè)結(jié)果顯示，本周“穿孔賊”變種（DLL）病毒疫情有所緩解，較上周下降了12.06%，位列病毒排行榜第三位，而“U盤(pán)寄生蟲(chóng)”以25780臺(tái)的感染量重登病毒榜榜首。同時(shí)本周最新監(jiān)測(cè)到一能夠在局域網(wǎng)中掛馬、達(dá)到傳播其它惡意網(wǎng)站廣告或惡意病毒程序等功能的“ARP魔鬼”病毒，該病毒會(huì)利用被感染的計(jì)算機(jī)冒充其所在局域網(wǎng)中的主機(jī)網(wǎng)關(guān)，然后對(duì)其所在的整個(gè)局域網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行ARP欺騙攻擊等操作。感染了“ARP魔鬼”變種a的局域網(wǎng)會(huì)造成網(wǎng)絡(luò)堵塞，網(wǎng)速變慢，用戶(hù)（局域網(wǎng)中沒(méi)有安裝ARP防火墻的計(jì)算機(jī)用戶(hù)）使用瀏覽器上網(wǎng)會(huì)莫名其妙地彈出廣告窗口等，嚴(yán)重干擾用戶(hù)正常上網(wǎng)和辦公等。
   本周還監(jiān)測(cè)到一個(gè)利用“迅雷”漏洞瘋狂下載惡意程序的“毒瘤” 變種e病毒，該病毒一般會(huì)內(nèi)嵌在正常的網(wǎng)頁(yè)中，如果用戶(hù)計(jì)算機(jī)沒(méi)有及時(shí)安裝“迅雷”的相應(yīng)漏洞補(bǔ)丁，那么當(dāng)用戶(hù)訪問(wèn)帶有“毒瘤”變種e的惡意網(wǎng)頁(yè)時(shí)，就會(huì)下載大量惡意程序并在被感染計(jì)算機(jī)上自動(dòng)調(diào)用運(yùn)行。其中，所下載的惡意程序可能為是網(wǎng)游木馬、惡意廣告程序、后門(mén)等，給用戶(hù)帶來(lái)不同程度的損失。
   
   本周監(jiān)測(cè)發(fā)現(xiàn)共感染計(jì)算機(jī)617413臺(tái)，其中木馬病毒共感染計(jì)算機(jī)442152臺(tái)，占病毒總數(shù)的71.6%；其他類(lèi)病毒共感染計(jì)算機(jī)60897臺(tái)，占病毒總數(shù)的9.86%；后門(mén)類(lèi)病毒共感染計(jì)算機(jī)44513臺(tái)，占病毒總數(shù)的7.20%；蠕蟲(chóng)類(lèi)病毒共感染計(jì)算機(jī)29401臺(tái)，占病毒總數(shù)的4.76%；漏洞攻擊類(lèi)病毒共感染計(jì)算機(jī)3298臺(tái)，占病毒總數(shù)的0.53%；腳本病毒感染940臺(tái)，占病毒總數(shù)的0.15%；宏病毒感染38臺(tái)，占病毒總數(shù)的0.01%。
    上周值得關(guān)注的典型病毒：“ARP魔鬼”變種a和“毒瘤”變種e
病毒名稱(chēng)：Trojan/ARP.a
中 文 名：“ARP魔鬼”變種a
病毒長(zhǎng)度：268311字節(jié)
病毒類(lèi)型：木馬
危險(xiǎn)級(jí)別：★★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
Trojan/ARP.a“ARP魔鬼”變種a是“ARP魔鬼”木馬家族的最新成員之一，采用Delphi 6.0 - 7.0編寫(xiě)，并經(jīng)過(guò)加殼處理。“ARP魔鬼”變種a運(yùn)行后，在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\”目錄下，釋放多個(gè)惡意DLL功能組件程序文件，并將文件屬性設(shè)置為只讀、系統(tǒng)、隱藏。在被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%\system32\drivers\”目錄下釋放一個(gè)惡意驅(qū)動(dòng)程序文件“pop.sys”（文件屬性為：只讀、系統(tǒng)、隱藏）。在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)以服務(wù)的方式安裝啟動(dòng)惡意驅(qū)動(dòng)程序“pop.sys”，然后利用該惡意驅(qū)動(dòng)程序和其它惡意DLL組件程序在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)執(zhí)行惡意操作。修改注冊(cè)表，實(shí)現(xiàn)木馬開(kāi)機(jī)自動(dòng)運(yùn)行。利用被感染的計(jì)算機(jī)冒充其所在局域網(wǎng)中的主機(jī)網(wǎng)關(guān)，然后對(duì)其所在的整個(gè)局域網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行ARP欺騙攻擊等操作。“ARP魔鬼”變種a能夠在局域網(wǎng)中掛馬、達(dá)到傳播其它惡意網(wǎng)站廣告或惡意病毒程序等功能。感染了“ARP魔鬼”變種a的局域網(wǎng)會(huì)造成網(wǎng)絡(luò)堵塞，網(wǎng)速變慢，用戶(hù)（局域網(wǎng)中沒(méi)有安裝ARP防火墻的計(jì)算機(jī)用戶(hù)）使用瀏覽器上網(wǎng)會(huì)莫名其妙地彈出廣告窗口等，嚴(yán)重干擾用戶(hù)正常上網(wǎng)和辦公等。
病毒名稱(chēng)：Exploit.HTML.Ascii.e
中 文 名：“毒瘤”變種e
病毒長(zhǎng)度：4424字節(jié)
病毒類(lèi)型：腳本病毒
危害等級(jí)：★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
Exploit.HTML.Ascii.e“毒瘤”變種e是“毒瘤”腳本病毒家族的最新成員之一，采用javascript腳本語(yǔ)言編寫(xiě)，并且經(jīng)過(guò)加密處理，利用“迅雷”中的漏洞傳播其它病毒。“毒瘤”變種e一般內(nèi)嵌在正常網(wǎng)頁(yè)中，如果用戶(hù)計(jì)算機(jī)沒(méi)有及時(shí)安裝“迅雷”下載軟件發(fā)布的相應(yīng)漏洞補(bǔ)丁，那么當(dāng)用戶(hù)使用瀏覽器訪問(wèn)帶有“毒瘤”變種e的惡意網(wǎng)頁(yè)時(shí)，就會(huì)在當(dāng)前用戶(hù)計(jì)算機(jī)的后臺(tái)連接駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)，下載大量惡意程序并在被感染計(jì)算機(jī)上自動(dòng)調(diào)用運(yùn)行。其中，所下載的惡意程序可能為是網(wǎng)游木馬、惡意廣告程序、后門(mén)等，給用戶(hù)帶來(lái)不同程度的損失。
    江民反病毒專(zhuān)家提醒廣大電腦用戶(hù)，采取以下有效安全防范措施，謹(jǐn)防遭受新病毒侵害。
  （1）每天定時(shí)升級(jí)病毒庫(kù)，定時(shí)全盤(pán)查殺。
  （2）開(kāi)啟江民殺毒軟件"系統(tǒng)漏洞檢查"功能，全面掃描操作系統(tǒng)漏洞，及時(shí)更新Windows操作系統(tǒng)，安裝相應(yīng)補(bǔ)丁程序，以避免病毒利用微軟漏洞攻擊計(jì)算機(jī)，造成損失。
  （3）江民殺毒軟件KV網(wǎng)絡(luò)版2008可以有效防范此類(lèi)病毒，企業(yè)用戶(hù)可以登錄江民官方網(wǎng)站下載，免費(fèi)試用，下載網(wǎng)址：http://www.jiangmin.com/exec/requestvcd/kvnet.htm
（4）利用Windows Update功能打全系統(tǒng)補(bǔ)丁，避免病毒從網(wǎng)頁(yè)木馬的方式入侵到系統(tǒng)中。
  （5）江民殺毒軟件新型主動(dòng)防御集成了BOOTSCAN、木馬一掃光、系統(tǒng)監(jiān)測(cè)、網(wǎng)頁(yè)監(jiān)控等多種主動(dòng)防御功能，更可對(duì)未知病毒進(jìn)行主動(dòng)監(jiān)控，對(duì)病毒層層攔截，即使有個(gè)別新病毒和惡性病毒入侵了系統(tǒng)，也無(wú)法逃脫江民殺毒軟件主動(dòng)防御系統(tǒng)的層層截殺，更好地保護(hù)用戶(hù)上網(wǎng)安全。
  （6）“江民密保”可有效保護(hù)網(wǎng)上銀行、支付平臺(tái)、網(wǎng)上證券交易、網(wǎng)絡(luò)游戲等賬號(hào)密碼，全面保護(hù)用戶(hù)私密信息。
  （7）江民防馬墻在系統(tǒng)自動(dòng)搜集分析帶毒網(wǎng)頁(yè)的基礎(chǔ)上，通過(guò)黑白名單，阻止用戶(hù)防問(wèn)帶有木馬和惡意腳本的惡意網(wǎng)頁(yè)并進(jìn)行處理，有效保障用戶(hù)上網(wǎng)安全。
  （8）江民殺毒軟件的虛擬機(jī)脫殼技術(shù)，針對(duì)目前主流殼病毒進(jìn)行虛擬脫殼處理，有效清除"殼病毒"。
  （9）江民殺毒軟件采用窗口保護(hù)以及進(jìn)程保護(hù)技術(shù)，避免病毒關(guān)閉殺毒軟件進(jìn)程，確保殺毒軟件自身安全，更好地保護(hù)用戶(hù)電腦的安全。
  （10）禁用系統(tǒng)的自動(dòng)播放功能，防止病毒從U盤(pán)、移動(dòng)硬盤(pán)、MP3等移動(dòng)存儲(chǔ)設(shè)備進(jìn)入到計(jì)算機(jī)。
  （11）江民殺毒軟件"移動(dòng)存儲(chǔ)接入殺毒"能杜絕病毒利用移動(dòng)設(shè)備（如：U盤(pán)、移動(dòng)硬盤(pán)等）入侵用戶(hù)計(jì)算機(jī)，完全保護(hù)計(jì)算機(jī)系統(tǒng)安全。
  （12）懷疑已中毒的用戶(hù)可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址：http://online.jiangmin.com/chadu.asp.