廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3780 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
superwisely
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x6 鮮花 x22
分享: 轉寄此文章 Facebook Plurk Twitter 版主評分 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] ARP病毒分析
ARP病毒分析

當局域網內某台主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和路由器,
讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。切換到病毒主機上網後,如果用戶已經登陸了傳奇服務器,
那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄傳奇服務器,
這樣病毒主機就可以盜號了。

由於ARP欺騙的木馬程序發作的時候會發出大量的封包導致局域網通訊擁塞以及其自身處理能力的限制,
用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,
切換過程中用戶會再斷一次線。

在路由器的「系統歷史記錄」中看到大量如下的信息:

MAC Chged 10.128.103.124

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

這個消息代表了用戶的MAC地址發生了變化,在ARP欺騙木馬開始運行的時候,
局域網所有主機的MAC地址更新為病毒主機的MAC地址
(即所有信息的MAC New地址都一致為病毒主機的MAC地址),
同時在路由器的「用戶統計」中看到所有用戶的MAC地址信息都一樣。

如果是在路由器的「系統歷史記錄」中看到大量MAC Old地址都一致,
則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,
主機在路由器上恢復其真實的MAC地址)。

BKDR_NPFECT.A病毒引起ARP欺騙之實測分析

Part1. 病毒現象
中毒機器在局域網中發送假的APR應答包進行APR欺騙、造成其他客戶機無法獲得網關和其他客戶機的網卡真實MAC地址,導致無法上網和正常的局域網通信.

Part2. 病毒原理分析:
病毒的組件

本文研究的病毒樣本有三個組件構成:


%windows%\\SYSTEM32\\LOADHW.EXE   (108,386 bytes) ….. 」病毒組件釋放者」

%windows%\\System32\\drivers\\npf.sys   (119,808 bytes) ….. 」發ARP欺騙包的驅動程序」

%windows%\\System32\\msitinit.dll   (39,952 bytes)   …」命令驅動程序發ARP欺騙包的控制者」


病毒運作基理:

1.LOADHW.EXE 執行時會釋放兩個組件npf.sys 和msitinit.dll .

LOADHW.EXE釋放組件後即終止運行.

注意: 病毒假冒成winPcap的驅動程序,並提供winPcap的功能.
客戶若原先裝有winPcap、npf.sys將會被病毒檔案覆蓋掉.

2.隨後msitinit.dll將npf.sys註冊(並監視)為內核級驅動設備: "NetGroup Packet Filter Driver"
msitinit.dll 還負責發送指令來操作驅動程序npf.sys (如發送APR欺騙包、抓包、過濾包等)

以下從病毒代碼中提取得服務相關值:


BinaryPathName = "system32\\drivers\\npf.sys"
StartType     = SERVICE_AUTO_START
ServiceType   = SERVICE_KERNEL_DRIVER
DesiredAccess   = SERVICE_ALL_ACCESS
DisplayName   = "NetGroup Packet Filter Driver"
ServiceName   = "Npf"

3. npf.sys 負責監護msitinit.dll. 並將LOADHW.EXE註冊為自啟動程序:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce]

        dwMyTest =LOADHW.EXE

      注: 由於該項位於RunOnce下,該註冊表啟動項在每次執行後,即會被系統自動刪除.

Part3. 反病毒應急響應解決方案

按以下順序刪除病毒組件

1)     刪除 」病毒組件釋放者」

%windows%\\SYSTEM32\\LOADHW.EXE

2)     刪除 」發ARP欺騙包的驅動程序」 (兼 「病毒守護程序」)

%windows%\\System32\\drivers\\npf.sys

a.     在設備管理器中、單擊」查看」-->」顯示隱藏的設備」

b.     在設備樹結構中,打開」非即插即用….」

c.     找到」 NetGroup Packet Filter Driver」 ,若沒找到,請先刷新設備列表

d.     右鍵點擊」 NetGroup Packet Filter Driver」 選單,並選擇」卸載」.

e.     重啟windows系統,

f.     刪除%windows%\\System32\\drivers\\npf.sys
 
3)     刪除 」命令驅動程序發ARP欺騙包的控制者」

    %windows%\\System32\\msitinit.dll

4).     刪除以下」病毒的假驅動程序」的註冊表服務項:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Npf

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富



Hello~
獻花 x1 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-11-15 17:18 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.035456 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言