arp欺骗这个概念我们在以前的文章曾多次讲到,简单的说就是局域网中的攻击者通过发送伪造的数据包给路由器,从而达到嗅探或让局域网中任一计算机断线的目的。当然,arp欺骗能够做到的不仅仅如此,就像最近很猖狂的arp病毒——传奇杀手,利用的就是arp欺骗,让用户断线,迫使用户重新登录传奇服务器,然后再通过arp欺骗嗅探数据包中的传奇帐户信息。下面就让我们以“传奇杀手”为例,介绍一下arp病毒的原理和清除方法。
什么是arp病毒
arp病毒可以分为两类,一种是纯攻击性质的,就是让整个局域网无法上网,这类病毒多发于网吧,因此arp病毒是令网吧业主最头痛的一类病毒。还有一种是带有窃取用户信息目的的,就像上文中提到“传奇杀手”。不过就算arp病毒再怎么改变,其利用的原理还是arp欺骗,只不过它在普通的arp欺骗的基础上加入了自动传播和木马等模块。
arp病毒的危害是很大的,单机用户感染后可能感受不到,但是对于局域网用户来说就是一种灾难。最明显的现象就是整个局域网瘫痪,局域网中所有计算机都无法上网,因此用户也无法通过网络寻找相关的解决方法。如果再带上木马的话,后果就相当严重了。
“传奇杀手”的简单分析
“传奇杀手”的病毒名为Loadhw.exe,运行后会在C:/windows/System32/drivers目录中生成npf.sys文件,并在C:/windows/System32/目录生成msitinit.dll文件。npf.sys的作用是发送ARP欺骗数据包的驱动程序,也就是进行arp欺骗。msitinit.dll的作用是控制npf.sys发送arp欺骗数据包的时间。至于Loadhw.exe嘛,就是窃取用户传奇帐号信息的罪魁祸首了。
病毒运行后,会将Loadhw.exe添加进系统的启动项,和以往的一些病毒略有不同的是,病毒修改系统项时,是在注册表的[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce]位置处修改的,也就是说,系统启动时会自动运行病毒,然后会自动将该处的建立的键值删除,这样就增加了病毒的隐蔽性。
再来说说“传奇杀手”的传播。“传奇杀手”会伪装成WinPcap驱动程序,看过前几期文章的朋友应该知道,要对网络进行底层的管理,WinPcap是最好的选择。因此有很多网吧会安装WinPcap,如果不仔细,很可能被“传奇杀手”伪装的WinPcap所迷惑。重要的是,“传奇杀手”虽然是病毒,但是其同时具有WinPcap的功能,只不过其病毒文件npf.sys会替换掉正常WinPcap中的npf.sys文件。所以网吧在安装WinPcap时,不能分辨出这是伪装的“传奇杀手”也就不足为奇了。
图1.被“调包”的npf.sys文件
至于“传奇杀手”的危害,我们在本文开头已经提到了,就是让网吧内的所有用户断线,然后当用户重新登录传奇服务器时趁机窃取用户的帐户信息。具体就不再阐述了。
病毒的手工清除
“传奇杀手”的清除还是比较简单的,可以根据以下步骤进行清除。
step1.删除位于C:/windows/System32/目录的病毒主程序Loadhw.exe。
step2.删除位于C:/windows/System32/drivers目录的npf.sys文件。
step3.在设备管理器中, 单击”查看”菜单,选择“显示隐藏的设备”,双击展开“非即插即用驱动程序”。
step4.找到其中的“NetGroup Packet Filter Driver”,右键单击之,选择“卸载”。
step5.删除位于C:/windows/System32/目录的msitinit.dll文件。
step6.运行“注册表编辑器”,删除病毒服务HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf。
图2.删除病毒服务项
step7.重新启动系统。
arp病毒的简单防御
防范arp病毒的方法,其实就是防范arp欺骗的方法。最简单并且一劳永逸的方法就是设置路由器将局域网中计算机网卡的MAC地址和IP地址进行绑定。或者使用“Anti ARP Sniffer”等arp欺骗防范工具,这类工具的使用都比较简单,点一下按钮即自动开始防范arp欺骗,相信聪明的读者们都能轻松搞定。
图3.Anti ARP Sniffer