“双A奇兵”——ANI与ARP的邪恶“组合拳”
网络安全
恶意页面:www.6658588.cn
投诉人数:1647
危害程度 ★★★★☆
IP: 60.190.114.84
定位:浙江省温州市电信
读者 周波:上午同事无意间打开此站后,中午全公司的电脑都中毒了,病毒在网内乱窜毫无办法。
读者 郑斌:在该网站下载了一个小游戏,没想到运行后莫名其妙安装了一大堆恶意插件、病毒。现在打开任何网页都会事先连接这个6658588.cn下载最新病毒。
读者 李清:真希望杀毒软件和防火墙能增加有ARP攻击防御功能,每次都被ARP欺骗什么时候才是个头?
上周突然出现了一个名为www.6658588.cn的恶意网站,仅一周时间就已全面爆发,各大安全论坛布满了关于它的求救帖,我们也收到多达1647位读者的举报邮件。
在测试时我们发现,该站用403错误作为首页以掩人耳目,但根目录中的ad.jpg、0614.js二级目录中的123.htm嵌有恶意代码。分析样本后确认这是一个联合ANI光标蠕虫和ARP欺骗攻击的恶意网站。
病毒将局域网内所有网址请求先转发至指定的病毒页面上,再迅速跳转至真正要访问的网站,由此导致整个内网用户打开任何页面均报毒的情况。进一步查其域名、注册信息,显示该站于6月19日在万网注册。看来目的非常明确,专为施放恶意代码而建。鉴于危害的严重性,已将它的信息反馈给万网请求协助查封。
已受感染的用户可尝试以下方法清理:
1.在路由器(局域网用户)或IE受限制站点中屏蔽此站。
2.安装Windows系统补丁,特别是MS07-17。
3.使用“Anti Arp Sniffer”(http://www.cpcw.com/bzsoft/)等ARP防御软件查出网内攻击源。
4.断开中毒电脑的网络连接,进入安全模式用杀毒软件对它进行彻底查杀。