热点推荐:
您现在的位置: 电脑学习网 >> 网络技术 >> 正文

如何防止9166.biz的ARP攻击

2013-09-12 15:53:51  来源: 网络技术 

  本周,名为9166.biz的恶意网站进入了我们的视线。多个安全论坛关于此问题的求助帖激增,读者们的举报信也纷至沓来,特别是一些局域网用户反映受此站攻击内部网络混乱。
  我们立即对9166.biz做了调查,http://9166.biz/002/002.htm及http://9166.biz/1.htm等多个页面均挂有病毒。入侵系统后窜改浏览器及HOST文件,利用iframe嵌套代码导致打开任何网页时都会先读取此病毒,导致网速变慢甚至打不开网页。
  通过进一步的分析发现,此病毒还有ARP攻击行为,局域网内用户一旦有一台电脑被入侵后将在全网疯狂传播实施ARP欺骗攻击,垃圾数据四窜,ping网关延迟,网速急剧下降,网内所有电脑都会被感染,杀毒软件不停报警可是无法彻底清除。
  这让我们想起了不久前肆虐网络的5y5.us、7y7.us和16a.us等恶性病毒,看来这个将服务器设在境外的犯罪团伙还不死心,又炮制出一个9166.biz继续危害网络。
解决方法:
  由于这类病毒均是由ANI光标漏洞蠕虫植入的,先下载安装MS07-17补丁。关闭IE浏览器及系统还原功能,并清空所有临时文件,删除HOST文件中的不明网址。并在路由器或IE受限地址中屏蔽9166.biz及对应IP。
  使用“ARP防火墙”(http://www.onlinedown.net/soft/52718.htm#download)清除并修正被修改的网关MAC地址。wWw.ItCoMPuTeR.coM.Cn
  删除不明启动项,进入安全模式用360安全卫士清除被植入的恶意插件,杀毒软件全盘杀毒,如果杀毒软件无法启动,注意系统时间是否被非法窜改,最后全面修复IE。
本周其他流氓网站
3G播客网
  恶意链接: www.2cdma.cn/v?htm?tuitan2cdma

  举报人数:441
  危害程度 ★★★
  IP:58.52.161.203
  利用恶意手段推广,二级页面嵌入病毒,弹出广告窗口。
  防范方法:清空IE临时文件,删除不明启动项。进入安全模式用黄山IE修复专家清理,最后全盘杀毒。
jygame88.com
  恶意链接:http://www.jygame88.com
  投诉人数:392
  危害程度 ★★★
  IP:61.188.38.155
    首页嵌有病毒,二级目录中藏有盗取网游“征途”账户的木马。更气人的是页面还放置了统计系统,记录受感染人数及IP地址。
  防范方法:关闭系统还原功能,屏蔽此站域名及IP,删除不明启动项,清空临时文件夹。进入安全模式使用360文件粉碎机强制删除以下文件(显示隐藏文件)C:\WINDOWS\Microsoft\rundll32.exe、C:\program files\internet explorer\use6.dll、C:\WINDOWS\system32\dt.dll,用360安全卫士清除并修复被植入的恶意插件及HOST文件,最后全盘杀毒。

 
如何防止外挂盗装备   现在网游非常流行,经常有玩家装备被盗!现在一些网游玩家很浮躁,他们为了快速提高自己的游戏级别,要么请人帮助自己进行游戏代练,要么干脆使用网络游戏外挂进行操作。但是当玩家正在为自己的级别自鸣得意的时候,他们的游戏账号、游戏装备等虚拟财产正面临着被盗走的危险。
  现在无论是国内的还是国外的网络游戏推出后不久,很快就会出现相应的游戏外挂。游戏玩家之所以青睐各种各样的游戏外挂,主要就是它们可以帮助自己在游戏中快速消灭敌人、迅速提升游戏级别。
  网络游戏外挂是一种修改游戏系统并且对服务器进行欺骗的作弊程序。它直接作用于网络游戏主程序,实现加速、看血、封包等目的。为了能够在网络游戏中快速取得较高的等级,很多玩家通过这种作弊程序来进行游戏。同时,在获得较高等级的同时,获得极品装备的几率也提高了。
  虽然大多数网络游戏外挂本身没有危害性,但是为了偷窃玩家的虚拟装备等虚拟财富,很多网络盗贼会利用木马捆绑工具将游戏外挂捆绑上木马。当游戏玩家运行游戏外挂后就会成功激活木马程序,然后网络盗贼就会利用木马程序来盗窃玩家账户。
  因此对于那些想通过游戏外挂来投机取巧的玩家来说,常常“是偷鸡不成蚀把米”,刚刚升级到的游戏账号或高级装备,就成为网络盗贼的“囊中之物”。有数据显示,80%以上的游戏玩家使用过各种各样的游戏外挂,而在这些人群中就有60%的玩家因此导致游戏账号和装备丢失。
真实案例再现
  受害人:刘星
  损失金额:游戏装备+上网时间+耗费精力≈1000元人民币
  刘星是个《热血江湖》游戏迷,苦于游戏水平有限迟迟不能升到较高级别,因此他在一些玩家的提示下,准备利用游戏外挂来快速提升自己的游戏级别。
  他通过搜索引擎找到了很多《热血江湖》游戏外挂,经过使用该游戏外挂刘星发现,自己不但移动速度比以前快了,而且常常可以提早发现对方并消灭之。没过多久,刘星的游戏人物等级提高了,同时,他还在游戏中获得了一个价值不菲的“潜能戒指”。
  没过多久当刘星再次登录《热血江湖》的账号后,竟然发现自己的潜能戒指、刀、衣服、护手、耳环等装备都不翼而飞,这些装备在网上能够卖到上千元人民币。也就是说,刘星相当于损失了上千元的钱财。
案例解剖
  各种各样的游戏外挂层出不穷,甚至很多人通过编写游戏外挂来卖钱。可是这些人很多都不满足通过贩卖游戏外挂来赚钱,所以它们在贩卖的游戏外挂上捆绑木马程序,通过木马程序盗取玩家的游戏账号来转移游戏装备等虚拟财产。
  当然也有其他人在获得某款主流网络游戏的外挂程序后,在把它捆绑上游戏木马后,再通过游戏论坛、游戏网站等多种渠道发布出去,从而成功窃取网络玩家的账号密码信息。
  更有甚者在编写游戏外挂的时候,直接在源代码里面添加上后门代码,在玩家登录游戏账号的时候记录账号密码。开始网络盗贼不盗你的号,等到玩家的级别高了后,再盗取价值不菲的极品装备。
两法则防范外挂盗号
  针对网络盗贼利用游戏外挂进行游戏账号、游戏装备等的盗窃行为,各位游戏玩家可以利用下面两条法则进行相应的防范。
第一法则:不要用任何游戏外挂
  不管是网络游戏还是单机游戏,都是用来给人们娱乐消遣的,想利用外挂投机取巧来获得高的游戏级别,不但会被人所鄙视,成为游戏运营商严打的对象,同时存在被盗取账号的风险。所以玩家应该本着轻松游戏、公平游戏的原则,同时为自身账号及角色安全着想,远离游戏外挂。
  由于部分网友已经下载或使用了所谓的外挂程序,虽然自己目前游戏账号依然完整,但是最好马上更改游戏登录密码,这样可以保证账号的安全;立即彻底卸载外挂程序,避免外挂自带的后门进行账号盗窃;立即使用正版杀毒软件进行杀毒,从而有效清除系统中的木马程序。
第二法则:检测下载文件安全性
  如果你已经下载了游戏外挂,想知道它是否捆绑了木马,该怎么办?我们可以利用PEID、LordPE等工具(以上工具均可以在http://www.cpcw.com/bzsoft下载),对游戏外挂进行检测。
辨别外挂是否捆绑木马
  我们首先利用PEID(下载地址:http://www.cpcw.com/bzsoft)这款工具来进行检测,熟悉文件破解的用户都知道,PEID是一款强大的查壳工具,其自动脱壳器插件可以应对现在大部分的软件脱壳任务。
  运行PEID后点击“文件”选项后的按钮,从弹出的窗口选择要检测的可疑程序,现在我们来操作工具的检查结果。不管PEID检测出程序使用什么壳进行的加密,只要是在检测结果里面发现了有“[Overlay]”这样的结果,那么就说明这个程序被捆绑了其他的文件。
  如果用户要运行这个程序的话,那么就一定要提高警惕。PEID软件可以查很多的壳信息,有的可以直接查找出带有捆绑的文件,有的则要进行深度或者核心扫描才能查找出带有捆绑的文件。
  如果没有出现这样的字样的话,还可以点击“扩展”按钮中的“深度扫描”命令再次进行检测。如果真的没有出现类似字样的话,就表示这个文件是安全的。
  接下来我们利用另一款名为LordPE(下载地址:http://www.cpcw.com/bzsoft)的工具来进行检测。运行LordPE后点击“PE编辑器”按钮来选择需要查看的文件,确定文件后程序会自动弹出一个“PE编辑”窗口。
  点击窗口“目录”按钮后,在弹出的“目录表”窗口中点击“导入表”后面的按钮,然后在弹出的“导入表”窗口中的“DLL文件”列表中进行查找。
  如果列表中只有一个USER32文件的话,那么一般都可以放心进行使用,如果要是文件带有两个USER32文件的话,那么就表示这个文件被进行过捆绑操作。
  这里要对用户特别强调的是,利用LordPE工具进行检测,其准确度比不上利用PEID检测的准确度。所以大家在进行文件捆绑检测的时候最好将两种方法配合使用,毕竟这两种方法只需要点击几下鼠标即可。  
如何防止arp欺骗

  近期一种新型的“地址解析协议欺骗”(简称:ARP欺骗)攻击手段正在校园网中扩散,严重影响了包括校园网的各种类型局域网的正常运行。黑客通过伪造一个假的网关进行木马的散播,让局域网内的用户一上网就会连接有木马的地址,而用户唯一的感觉只是网络不畅通。那么ARP 欺骗是怎样的一种黑客攻击手段?普通的用户又该如何防范ARP 欺骗攻击呢?
“ARP 欺骗”的方式和原理
  从影响网络连接通畅的方式来看,ARP 欺骗大概可以分为两种。一种是对路由器ARP表的欺骗,这种方法可以破坏系统的ARP缓存表,从而造成内外IP地址的混乱。另一种是对局域网里面计算机的网关欺骗,让内网计算机系统的数据包通过假网关来发送。
  第一种ARP 欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行地址的更换,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,从而造成计算机访问黑客精心构建的网络陷阱。
  第二种ARP 欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的计算机向假网关发数据,而不是通过正常的路由器途径上网。在用户的角度看来,就是上不了网了以及网络掉线了,这样会给用户造成系统网关出错的假象。
如何利用“ARP 欺骗”入侵
  黑客要进行ARP 欺骗入侵只需要一个前提条件,就是进行入侵的计算机和被攻击的计算机要在一个局域网的网段中。由于ARP 欺骗是通过数据包进行欺骗的,所以在进行操作以前要在本地计算机安装一个驱动程序WinPcap(图1)。

  打开系统的命令提示符命令,并切换到利用工具所在的目录,接着执行利用工具命令:arpspoof.exe /n,然后会生成一个文本文件。现在打开这个文本文件后按照自己的需求进行编辑,比如可以将“Hack by cooldiyer”改为“该系统已经被我成功入侵!”(图2)。

  在命令提示符窗口输入命令:ArpSpoof 192.168.1.6 192.168.1.3 80 2 1 /r job.txt,其中192.168.1.6表示入侵计算机的IP地址,192.168.1.3表示被入侵计算机的IP地址,80表示用于欺骗的远程端口。
  后面的相关参数设置,用户应该根据自己网络网关的实际类型(例如有些网关地址为192.168.0.1,有些则是192.168. 110.1)情况进行设置。当准确键入以上命令后回车,程序就可以进行ARP 欺骗攻击(图3)。当其他用户访问这台服务器的80端口后,从浏览器看到的就是我们文本文件中的内容。

  刚才只是利用ARP 欺骗进行了网站攻击,现在利用另一款欺骗工具进行木马传播。在命令提示符窗口查看ARP 欺骗工具zxarps.exe的使用方法,然后键入命令:zxarps.exe -idx 0 -ip 192.168.1.7-192.168. 1.255 -port 80 -insert “

 
From:http://www.itcomputer.com.cn/Article/Network/201309/428.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 电脑知识网 Computer Knowledge   All rights reserved.