浅析流行病毒的清除.ppt

浅析流行病毒的清除 -江民科技培训2008.03 这个页面看有什么异常 流行病毒 No.6 ARP病毒……ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。 ARP协议的基本功能：通过目标设备的IP地址，查询目标设备的MAC地址。 ARP缓存表：在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当一台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。 ARP病毒的实现机理 准备发送数据 （1）首先查询自身的ARP缓存表内是否有目标机的ARP数据记录。 准备发送数据 （2）S电脑会向网内发送广播，询问“我的IP是192.168.1.2，硬件地址是MAC2，我想知道IP地址为192.168.1.3的电脑的硬件地址是多少？” 正常的数据回复 （3）这时，全网络的电脑都收到该ARP广播包了，包括A电脑和D电脑。 实施ARP欺骗 （★）但是当此时，沉默寡言的A电脑也回话了：“我的IP地址是192.168.1.3，我的硬件地址是 MAC1”。 ARP欺骗成功 （★）这样就导致以后凡是IP地址为192.168.1.2的S电脑要发送给D电脑，都将会发送给MAC地址为MAC1的A电脑。A电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程。 ARP病毒检测工具 （1）现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARP Sniffer（现在已更名为ARP防火墙）Anti ARP Sniffer这个工具软件可以较为快捷的定位ARP中毒电脑 ARP病毒检测工具 启动防火墙后，其会自动识别到网关MAC地址，并记录网络内的ARP数据信息。如发现有ARP攻击，其在任务栏的图标会有闪烁并辅以弹出气泡的提示。 ARP病毒检测工具 局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。 ARP病毒检测工具 （2）当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。 ARP病毒检测工具 从红色框内的信息可以看出，192.168.0.109 这台电脑正向全网发送大量的ARP广播包，一般的讲，局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。 双剑合璧 以上两种方法有时需要结合使用，互相印证，这样可以快速准确的将ARP中毒电脑定位出来。 流行病毒 No.5 镜像劫持病毒 (进程镜像劫持类病毒) 病毒样本名称：trojandownloader.agent.qwc 病毒特点：强力关闭安全软件，使其无法运行。 镜像劫持病毒的特征 ⑴病毒运行后会自我复制到被感染计算机的系统目录下system32目录，并重新命名为“dllhos.exe”。 ⑵修改被感染计算机中的注册表键值HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，其采用进程映像劫持技术，使接近五十种杀毒、安全软件开启时都会按照注册表中的键值启动dllhos.exe，导致安全软件无法正常使用。 镜像劫持病毒特征 注册表HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options键值下的内容截图 流行病毒 No.4 机器狗病毒……第一代变种 病毒样本名称：Trojan.DogArp.a 病毒特点：覆盖系统文件，穿透系统还原软件 机器狗病毒变种第一代的特征 ⑴病毒运行后会在被感染计算机的系统目录下System32文件夹内创建一个恶意程序“userinit.exe”，或者直接覆盖原有的“userinit.exe”。该程序为木马下载器，会在被感染计算机的后台连接黑客指定站点获取其它恶意程序，并在下载后自动安装。 ⑵通过在被感染计算机的系统目录下\System32\drivers\文件夹内释放一个恶意病毒组件“pcihdd.sys”驱动文件。该文件具有创建磁盘IO接口，自动识别系统盘格式，可进行直接读写硬盘操作。具有绕过“冰点还原精灵”、“影子系统”等系统