9,506
社区成员
发帖
与我相关
我的任务
分享发现新型arp病毒,绝对生猛!
ARP欺骗病毒
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
绝对的新发现!发现一种新的ARP病毒,会导致不能正常上网,症状如下:
一、当局域网内某台主机感染了arp病毒时,会向本局域网内(指某一网段...)发送arp欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
二、如果你安装有防火墙,那么次病毒的特征是会伪装成局域网内的一台不存在的电脑对你发出攻击,而通过这个假攻击动作绕过防火墙,直接接管你的网络。
三、该病毒寄存范围很广泛而且无规律,甚至可以感染BIOS,其自我防护方法是互相监控,互相复制,导致查杀困难,因为你消灭掉硬盘里面的,他会自动从BIOS感染回来,如果将主板放电,在电脑运行过程中,又会从硬盘感染回去,交叉感染互相保护。
四、目前的杀毒软件暂时还没有此毒的特征码,所以暂时无法发现该毒,但是会出现防火墙拦截动作。 现在我正在虚拟机里面观测着此病毒样本,等有解决方法后会公布!
参考资料: [1]ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。
...全文
请发表友善的回复…
发表回复
cs张 2013-01-12
- 打赏
- 举报
好吧,手贱点了进来,又百科了下,百科里有专杀工具的下载地址,下载地址时间那些什么的06年?我戳啊~~
能哥 2013-01-09
- 打赏
- 举报
疯了????
tp418472075 2013-01-09
- 打赏
- 举报
感觉楼主在乱言乱语!!!!!!!!
zzhack741 2013-01-06
- 打赏
- 举报
先学习下 ,以后碰到了好解决 ,谢谢楼主分享
zhang_14 2013-01-06
- 打赏
- 举报
LZ arp 缓存 老是有192.168.1.255 是arp病毒么。 网管不是255
jimette 2012-12-22
- 打赏
- 举报
将主板电池拆下,然后将电源关闭1分钟,保证其消失在BIOS中.
牛
Oo纳兰筱DoO 2012-12-21
- 打赏
- 举报
学习一下
rboert 2012-12-21
- 打赏
- 举报
楼主真是好心人。羡慕也支持你。。。
cwj8512 2012-12-16
- 打赏
- 举报
还好没遇到过这样的病毒,不然的话头可大了
faveary 2012-12-08
- 打赏
- 举报
360局域网防护绝对是这个病毒的帮凶,经测试,在关闭360局域网防护的情况下,此病毒貌似不会发作,那么 我是不是可以猜测,这个病毒制造者是想做这个病毒 黑360的?是360的竞争对手?还是曾经是360的员工?我不知道他采用什么方式,只要360防火墙有拦截动作,并且尝试追逐时,必然中招!
另外,彻底杀掉此毒的方法还在研究中
faveary 2012-12-08
- 打赏
- 举报
病毒这东西,谁中谁知道!
Sidyhe 2012-12-07
- 打赏
- 举报
好扯淡的文章,好神奇的病毒程序。
faveary 2012-12-06
- 打赏
- 举报
再补充一点,自己密切注意自己的网络流量,特别是上传流量,如果有不明程序上传数据,那么就要警惕了,特别是有些程序,每秒10k以上的上传,都可能有问题!
faveary 2012-12-06
- 打赏
- 举报
另外,发现此毒的一个弱点!
C盘下有一个kick_arp.evr文件,我发现这是他的宿主,在dos下将此文件删除,然后再创建一个同名的文件,将属性改为只读,这样,他就无法组合碎片,即使机器带毒也无法激活!
yeah!!!!!
leanardo 2012-12-06
- 打赏
- 举报
感谢楼主,紧急处理中!!!
faveary 2012-12-06
- 打赏
- 举报
病毒感染范围研究:
应用程序是其主要目标,然后就是word文档,还有视频文件有其碎片存在,从内容方面区分,一般金融类的应用软件都是其优先选择的载体,特别是现在一些热门的软件的下载,在破解版,绿色版之类的,都是其良好的载体
如果重视这方面的安全,最好不要在网上下载那些破解的软件吧,现在病毒传播99%的途径都是网络下载导致,从源头切断,比什么杀毒软件都有效!
faveary 2012-12-06
- 打赏
- 举报
补充:
我发现360的网络防火墙完全是个摆设!而且还会被此病毒利用,如果打开了360的局域网防护功能的,此病毒就会构造出很多奇怪的攻击,甚至会说你的路由器在攻击你,总会出现192.168.1.1这个地址攻击你,然后他正好利用这点,破坏你的网络,一般提示攻击的时候,如果简单的关闭就没什么事,如果使用追踪痕迹,立刻中招!
所以,建议最好关闭360的局域网防护功能!
faveary 2012-12-05
- 打赏
- 举报
经过研究:暂时的解决方法如下
首先,江民和卡巴貌似也查不到此毒,但是有时会有相关的拦截动作,千万不能依赖杀毒软件,由于该病毒可以存在BIOS里面,所有首先要做的是将主板电池拆下,然后将电源关闭1分钟,保证其消失在BIOS中.
然后,准备好一个干净的硬盘,原来的硬盘最好先别动,我研究发现,病毒在磁盘中不是以单一文件存在,而是以碎片的形式存在,暂时还没找到他是通过什么条件重组的,但是一旦他重组成功,并且成功感染到所能感染的位置,就开始影响网络,时而上传数据,时而arp地址欺骗.这个病毒一旦发现有新硬盘,立即就将碎片散布进去,所以必须先用一个无内容的盘来重做系统,然后先将系统安装好相关的杀毒软件和防火墙,这样我们就建立了一个无毒的环境,然后再将之前有毒的硬盘挂上,作为从盘启动,千瓦别用那个盘引导,不然,病毒就把我们的无毒环境破坏了
该病毒碎片分布很广泛,word文档里面有,应用程序里有,部分视频文件也包含,接下来是资料挽救,我本来尝试找到该病毒的宿主,但是暂时未能找到,目前只能用虚拟机来作为实验室,对我们的原有资料一个个尝试,这个工作量很大,但是没有办法,中毒的朋友先照我说的这么尝试吧,暂时只能救急,我有新的方法会第一时间公布!
leanardo 2012-12-05
- 打赏
- 举报
我 草,是真的吗?我们宿舍有个傻 比估计就中这毒了,上不了网,老说我们搞他, 楼主赶紧给出解决方法!
faveary 2012-12-04
- 打赏
- 举报
关于Arp病毒,自己查百度百科
这个新发现正在研究中!!
请大家继续跟进,我会将我知道的逐渐发出来!
而且我发现已经有人中这个毒受到伤害了
看这个地址:
http://zhidao.baidu.com/question/504198972.html?quesup2
