近期,东方微点公司频频接到用户举报称多家知名网站被挂马,打开网站任意一个页面,微点主动防御软件都会报警提示发现未知木马。据悉,网页被挂马是黑客们惯用的一种“种植木马”的手段,但与以往不同,近期这些被挂马网站的典型特点不是单独一个页面被挂马,而是网站任意一个页面均被挂上了木马。经过微点反病毒专家进行技术分析得知,该情况与通过入侵网站服务器进行网页挂马的传统手段有很大的不同,而是通过一种新型的“黑金ARP”欺骗攻击手段。利用这一手段,可使病毒的传播速度呈数十倍的增长,危害极大。
据微点反病毒专家介绍,这种新型的“黑金ARP”欺骗攻击手段实为一种带有浓郁牟利色彩的新型木马传播手段。利用此类“黑金ARP”欺骗攻击手段,可以对病毒实现较为快速的传播,已成为黑客赚取黑金的聚宝盆。
“黑金ARP”最大的特征是:一机中毒,全网遇难。而诸如上述某些知名网站被挂马的原因,实际上并非网站本身被挂上了木马。通常较为知名网站的服务器安全都具有较好保障,但多数网站采取服务器托管,而托管机房的局域网环境则情况复杂。而一旦托管机房网络中任意一台计算机感染该木马,借助“黑金ARP”欺骗与劫持相结合的典型技术特点,通过网络内其他服务器以“四两拨千斤”之势便可以不费吹灰之力形成迅速的传播能力。比传统网页木马更可怕的是,“黑金ARP”一是利用广大网民对知名网站的信任,容易放松警惕;二是利用了知名网站本身具有的巨大流量,举手之间就可将木马散布于数十乃至数百万网民之中。同时,“黑金ARP”木马更可以实现实时动态变换挂马网页,使得网民在短时间内就会被大量多种木马病毒感染,令人防不胜防。
随后,微点反病毒专家向记者较为详细地介绍了此类“黑金ARP欺骗”手段的原理:简单来说,早期“ARP欺骗”攻击的目的,多用来干扰用户正常通讯。此类“ARP欺骗”病毒通过向其他计算机发送虚假的MAC数据,扰乱网络正常的通讯秩序,产生一系列通讯故障。而近期微点主动防御软件自动捕获的Backdoor.Win32.ARP.a则具有了较为明显的牟利意图。该病毒(Backdoor.Win32.ARP.a)的特别之处在于,在原有“ARP欺骗”基础上,捆绑正常的网络分析软件WinPcap,试图欺骗传统杀毒软件,利用WinPcap提供的网络分析功能,劫持网络内所有HTTP通讯,并且强行在HTTP数据包中插入带有病毒程序的网页链接,使得用户在访问正常网页时,自动下载木马病毒。也就是说,只要机房中有一台服务器感染该木马,机房内所有的服务器(例如上文某些知名网站)被访问时,访问者的电脑都有可能被感染上木马病毒。早期“ARP欺骗”受影响的主要是企业局域网用户,而“黑金ARP”采用劫持用户访问网站服务器数据包并强行插入木马病毒自动下载链接的手段,使得互联网用户都存在潜在的威胁。
随着近期微点主动防御软件自动捕获的“黑金ARP”欺骗类木马数量显著增加,可以看到,此类木马的危害正在日益加大,同时,该木马具有实时动态变换挂马网页和木马病毒的特点,对互联网用户的安全威胁极大,令人防不胜防。因此,建议广大用户安装使用具有主动防御功能的安全软件,主动防御软件特有的行为杀毒技术,针对此类复杂多变的木马程序也有较好的清除能力。在发现您的计算机出现异常情况时,请即时与专业的反病毒公司联系处理,以免造成更为严重的损失。(责任编辑:李磊)
