黑榜(36)
网络安全
3168a网“甩卖”新ARP病毒
投诉人数:2763
危害程度 ★★★★☆
IP:209.11.243.35
定位:美国
读者 王天龙:传播速度太快了,我看到很多网友都中招了,到处都是求助帖。
读者 安华:公司的局域网又一次中毒了,打开网页慢得要死。
读者 李澜蓝:看来是新出的,杀毒软件拿它没办法。唉,郁闷!
本周突然出现的3168a.com让众多网民措手不及,仅两天时间就感染数万网民,各大安全论坛里求助帖急速增长,黑榜收到的投诉邮件也直线上升。
接到读者举报我们立即着手调查,打开http//ora.3168a.com/s368/t368.gif防毒软件报警发现js脚本病毒,将此伪造的图片文件提取后用记事本打开发现内部代码已经过加密。在测试机中运行样本后发现网速迅速下降,访问网页迟缓,IE浏览器占用大量内存,CPU资源占用也持续达到90%以上。
浏览任何网页时都要调用上述病毒网址,且多数网页出现乱码、CSS样式混乱、图片无法显示等状况。同时它还在局域网内大肆发送ARP欺骗数据,伪造网关MAC地址,感染网内其他用户,导致全网中毒。
从多引擎扫描的结果来看,这是一个最新变种的ARP蠕虫病毒,能轻易逃脱了国内外多款知名杀毒软件的检测。
查询域名Whois信息发现此域名在2007年1月10日注册于新网,6月7日又修改过解析地址,看来此次攻击蓄谋已久。建议普通用户使用本期HOSTS反黑文件屏蔽此网址,清空IE临时文件。
局域网用户在路由器中添加ora.3168a.com及其IP地址,并使用《ARP防火墙》(http://www.cpcw.com/bzsoft)找出网内中毒电脑断网隔离。此病毒样本已紧急转交至17家主流反病毒厂商,请大家注意及时升级杀毒软件查杀。
恶意网站页面:潇湘电影网(movie.yl0708.cn)
投诉人数:1545
危害程度 ★★★
IP:60.12.166.133
定位:浙江省金华市网通
编辑分析:恶意电影网站,页面嵌有ANI蠕虫病毒,企图利用MS07-017漏洞入侵用户系统,下载其他木马病毒。ANI蠕虫大闹互联网半年后势头仍未减弱,各类变种层出不穷。此网站可以用HOSTS反黑文件屏敝。
恶意网站页面:快乐港湾(xxcom.cn)
投诉人数:534
危害程度 ★★
IP:202.102.249.52
定位:河南省郑州市商都信息中心
编辑分析:虚假钓鱼网站,整个网站完全仿冒知名设计网站蓝色驿站(www.bluestation.net),删除版权信息,企图盗取他人劳动成果迷惑网民。可笑的是,仓惶剽窃中竟忘了修改原站的部分链接。此网站可以用HOSTS反黑文件屏敝。
HOSTS反黑文件下载
最新版本:2007.09.10
文件大小:6KB
累计下载次数:19548(截至2007年9月3日)
全球唯一下载地址:http://www.cpcw.com/web/f/host.html
使用方法:解压后将HOSTS文件直接覆盖至C:\windows\system32\Drivers\Etc即可,为防止某些恶意网站或病毒窜改HOSTS,请确保此文件属性为“只读”。
新收录的恶意网站
www.k333.cn
movie.yl0708.cn
welcome.aeeboo.com
www.qqcom.net.cn
web.123563.com
ora.3168a.com
123.blog5460.com.cn
www.uhq.cn
www.851733.cn
xxcom.cn
vip.my.qq.com.qqncn.cn