ARP病毒分析

當局域網內某台主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，
讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網後，如果用戶已經登陸了傳奇服務器，
那麼病毒主機就會經常偽造斷線的假像，那麼用戶就得重新登錄傳奇服務器，
這樣病毒主機就可以盜號了。

由於ARP欺騙的木馬程序發作的時候會發出大量的封包導致局域網通訊擁塞以及其自身處理能力的限制，
用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，
切換過程中用戶會再斷一次線。

在路由器的「系統歷史記錄」中看到大量如下的信息：

MAC Chged 10.128.103.124

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

這個消息代表了用戶的MAC地址發生了變化，在ARP欺騙木馬開始運行的時候，
局域網所有主機的MAC地址更新為病毒主機的MAC地址
（即所有信息的MAC New地址都一致為病毒主機的MAC地址），
同時在路由器的「用戶統計」中看到所有用戶的MAC地址信息都一樣。

如果是在路由器的「系統歷史記錄」中看到大量MAC Old地址都一致，
則說明局域網內曾經出現過ARP欺騙（ARP欺騙的木馬程序停止運行時，
主機在路由器上恢復其真實的MAC地址）。

BKDR_NPFECT.A病毒引起ARP欺騙之實測分析

Part1. 病毒現象
中毒機器在局域網中發送假的APR應答包進行APR欺騙、造成其他客戶機無法獲得網關和其他客戶機的網卡真實MAC地址,導致無法上網和正常的局域網通信.

Part2. 病毒原理分析:
病毒的組件

本文研究的病毒樣本有三個組件構成:


%windows%\\SYSTEM32\\LOADHW.EXE   (108,386 bytes) ….. 」病毒組件釋放者」

%windows%\\System32\\drivers\\npf.sys   (119,808 bytes) ….. 」發ARP欺騙包的驅動程序」

%windows%\\System32\\msitinit.dll   (39,952 bytes)   …」命令驅動程序發ARP欺騙包的控制者」

病毒運作基理:

1.LOADHW.EXE 執行時會釋放兩個組件npf.sys 和msitinit.dll .

LOADHW.EXE釋放組件後即終止運行.

注意: 病毒假冒成winPcap的驅動程序,並提供winPcap的功能.
客戶若原先裝有winPcap、npf.sys將會被病毒檔案覆蓋掉.

2.隨後msitinit.dll將npf.sys註冊(並監視)為內核級驅動設備: "NetGroup Packet Filter Driver"
msitinit.dll 還負責發送指令來操作驅動程序npf.sys (如發送APR欺騙包、抓包、過濾包等)

以下從病毒代碼中提取得服務相關值:


BinaryPathName = "system32\\drivers\\npf.sys"
StartType     = SERVICE_AUTO_START
ServiceType   = SERVICE_KERNEL_DRIVER
DesiredAccess   = SERVICE_ALL_ACCESS
DisplayName   = "NetGroup Packet Filter Driver"
ServiceName   = "Npf"

3. npf.sys 負責監護msitinit.dll. 並將LOADHW.EXE註冊為自啟動程序:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce]

        dwMyTest =LOADHW.EXE

      注: 由於該項位於RunOnce下,該註冊表啟動項在每次執行後,即會被系統自動刪除.

Part3. 反病毒應急響應解決方案

按以下順序刪除病毒組件

1)     刪除 」病毒組件釋放者」

%windows%\\SYSTEM32\\LOADHW.EXE

2)     刪除 」發ARP欺騙包的驅動程序」 (兼 「病毒守護程序」)

%windows%\\System32\\drivers\\npf.sys

a.     在設備管理器中、單擊」查看」-->」顯示隱藏的設備」

b.     在設備樹結構中,打開」非即插即用….」

c.     找到」 NetGroup Packet Filter Driver」 ,若沒找到,請先刷新設備列表

d.     右鍵點擊」 NetGroup Packet Filter Driver」 選單,並選擇」卸載」.

e.     重啟windows系統,

f.     刪除%windows%\\System32\\drivers\\npf.sys
 
3)     刪除 」命令驅動程序發ARP欺騙包的控制者」

    %windows%\\System32\\msitinit.dll

4).     刪除以下」病毒的假驅動程序」的註冊表服務項:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Npf