[電腦] ARP病毒之奮戰(SLIB5C)

今天同事接到客戶的電話，說網頁怎麼從外部IP連進去就會在網頁開頭多了一串亂碼，像這樣：
1^LIBsafdq8f7e2rwgfwkf)ewtr**(){B~SLIB5C

後來在查詢網路資料的過程中，發現1^跟SLIB5C這兩個字串是個Pattern，而其它部位似乎是隨機字串，所以就姑且用SLIB5C來稱之。

首先，我們先是朝著客戶的網頁伺服器去著手，發現IIS並沒有任何的異常，經過一番測試，發現只要將Listen的Port改成非80 Port就不會有問題，而只要是80 Port，不管是ASP還是HTML還是ASPX都會有問題，而在主機上又沒看到任何疑似病毒的Process.....

再來奇怪的一點是，用內部IP連網頁就沒事，用外部IP連就會有亂碼出現。OK，這時在猜想是有病毒在監聽"外部IP"的HTTP Protocol，但是在哪裡監聽的呢?

這時就以各種字串上Google去求籤，當使用SLIB5C查詢時，終於查到有相同的症狀的文章出現了，感謝shazi's unreal world分享的文章，由文中得知，是由於網路上某台中毒的電腦發出假的arp訊息，讓同網段的其它電腦誤將中毒的電腦當做Gateway，而將所有聯外的封包全送到那台電腦去，然後中毒的電腦再過濾HTTP的封包，在內容加上一段內容後再送給真正的Gateway，聽說本來是要加上廣告的，不過似乎有問題，所以變成亂碼。

找到原因後，立刻用批次檔讓主機對同Class C的1~254 IP做Ping的動作，以取得所有的Mac的Cache，再用arp -a列出來後跟Gateway比對，果然找到一台電腦的Mac跟Gateway相同，於是馬上聯絡客戶將那台電腦關掉，網頁就恢復正常了。

這個病毒在網路上還找不到正確的名稱，所以還不知原因，不過這個病毒就像愈來愈猖獗的詐騙集團一樣，轉接封包(電話)，再接回真正的對象，以做竊聽，在必要時再加入自己的內容，讓被竊聽的人不知不覺。說到這裡，我想起了「藍色駭客」這本書中的「任意門」軟體了，呵呵～