2007/07/11

[電腦] ARP病毒之奮戰(SLIB5C)

今天同事接到客戶的電話,說網頁怎麼從外部IP連進去就會在網頁開頭多了一串亂碼,像這樣:
1^LIBsafdq8f7e2rwgfwkf)ewtr**(){B~SLIB5C

後來在查詢網路資料的過程中,發現1^跟SLIB5C這兩個字串是個Pattern,而其它部位似乎是隨機字串,所以就姑且用SLIB5C來稱之。

首先,我們先是朝著客戶的網頁伺服器去著手,發現IIS並沒有任何的異常,經過一番測試,發現只要將Listen的Port改成非80 Port就不會有問題,而只要是80 Port,不管是ASP還是HTML還是ASPX都會有問題,而在主機上又沒看到任何疑似病毒的Process.....

再來奇怪的一點是,用內部IP連網頁就沒事,用外部IP連就會有亂碼出現。OK,這時在猜想是有病毒在監聽"外部IP"的HTTP Protocol,但是在哪裡監聽的呢?

這時就以各種字串上Google去求籤,當使用SLIB5C查詢時,終於查到有相同的症狀的文章出現了,感謝shazi's unreal world分享的文章,由文中得知,是由於網路上某台中毒的電腦發出假的arp訊息,讓同網段的其它電腦誤將中毒的電腦當做Gateway,而將所有聯外的封包全送到那台電腦去,然後中毒的電腦再過濾HTTP的封包,在內容加上一段內容後再送給真正的Gateway,聽說本來是要加上廣告的,不過似乎有問題,所以變成亂碼。

找到原因後,立刻用批次檔讓主機對同Class C的1~254 IP做Ping的動作,以取得所有的Mac的Cache,再用arp -a列出來後跟Gateway比對,果然找到一台電腦的Mac跟Gateway相同,於是馬上聯絡客戶將那台電腦關掉,網頁就恢復正常了。

這個病毒在網路上還找不到正確的名稱,所以還不知原因,不過這個病毒就像愈來愈猖獗的詐騙集團一樣,轉接封包(電話),再接回真正的對象,以做竊聽,在必要時再加入自己的內容,讓被竊聽的人不知不覺。說到這裡,我想起了「藍色駭客」這本書中的「任意門」軟體了,呵呵~

沒有留言: