预警:“ARP蜗牛”攻击堵塞局域网

安全
ARP蜗牛”攻击堵塞局域网在当今社会已倍受关注

一、“VBS自动木马下载器11164”(VBS.AutoRun.al.11164) 威胁级别:★

这一个VBS格式的网页病毒,主要功能是下载木马程序。它的基本原理并不复杂,但因为能够通过网页挂马和AUTO传播的方式进行扩散,大面积传播的趋势较高。

病毒进入电脑后,立即释放病毒文件“.vbs”到系统盘的%WINDOWS%system32目录和%WINDOW%system32wbem目录下。注意,这个“.vbs”是没有名字的,这可以作为识别它的特征。

接着,病毒修改系统时间至2003年,致使卡巴斯基等依赖系统时间来进行激活和升级的杀毒软件失效。当然,如果你的电脑中有其它软件也是依赖系统时间的,那它们也会受到影响。与此同时,病毒会搜索连接到中毒电脑上的所有存储设备,比如U盘和本地硬盘,在它们的根目录中创建autorun.inf文件,实现自动播放功能。这样一来,它就能够在各种存储设备之间自由地传播,不断扩大传染范围。

二、“ARP蜗牛745472”(Win32.TrojDownloader.Delf.745472) 威胁级别:★★

ARP病毒最令人无法忍受的地方就是它对网速的影响。整个局域网中,只要有一台电脑中了ARP,其余电脑的网速都会被拖后腿,严重时甚至会死机。本则预警播报所介绍的就是这样一个病毒。

该病毒进入用户系统后,释放文件、并修改系统注册表实现自动运行。当它成功运行后,会欺骗局域网内所有主机和路由器,向它们发送大量垃圾信息,并冒充成网关,让所有上网的数据都必须经过中毒电脑。

在这个过程中,由于其他用户原来是直接通过路由器上网,而现在转由通过病毒主机上网,那么在切换的时候就会断一次线。等再连接上后,网速就会越来越慢,直到掉线。给用户的使用造成极大不便。

喜欢手动杀毒的用户,可在系统盘中找到病毒释放出的五个病毒文件,分别为%WINDOWS%system32目录下的packet.dll、wanpacket.dll、wpcap.dll,以及%WINDOWS%Cache目录下的Arpmm.exe,还有%WINDOWS%system32drivers目录下的npf.sys。另外需告知大家的是,该病毒具备自我删除功能,运行完毕后,它就会自我删除,使得用户难以找到它。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

 

【编辑推荐】

  1. 如何保障局域网内共享文件安全性
  2. 报告显示微软IE9在防范恶意软件的测试上表现突出
  3. NSS Labs:各大浏览器的社会工程学攻击测试
  4. 用Linux“IP伪装”法来抵住黑客攻击
  5. 恶意软件依靠用户电脑攻击Google
责任编辑:Writer 来源: ZDNET安全频道
相关推荐

2009-10-29 17:30:08

2009-01-20 10:38:00

2012-11-02 13:08:58

2010-09-16 13:42:34

2009-02-09 09:42:00

2013-05-13 18:49:04

2009-08-11 15:04:06

2020-04-29 09:30:05

网络安全 防火墙局域网

2009-02-11 09:27:00

2019-09-10 13:16:23

ARP地址解析协议局域网

2015-08-13 13:47:17

2011-09-19 16:06:55

路由器局域网分段

2009-12-23 17:29:45

2010-09-02 09:07:53

2010-08-25 12:55:25

2011-08-17 14:12:18

无线局域网

2010-09-28 16:29:54

局域网DHCP协议

2010-06-09 10:38:05

局域网协议

2010-10-14 10:54:09

企业无线局域网

2009-01-13 09:34:00

局域网管理部署
点赞
收藏

51CTO技术栈公众号