最近收到了一位IT行业朋友的来信,说他遇到了这么一个现象,百思不得其解。
我昨天遇到了一个非常郁闷的问题,我们公司有一个部门的PC只要打开IE赛门铁克就会就会提示我中毒,下面是中毒的日志: Scan type: Auto-Protect Scan Event: Security Risk Found! Threat: Trojan.Exploit.131 File: C:/Documents and Settings/ /Local Settings/Temporary Internet Files/Content.IE5/.../ad2[1].c Location: Unknown Storage Action taken: Clean failed : Quarantine failed : Access denied 并且更奇怪的是只要开启IE在源代码里面就能在第一行看到如下一行代码: src=http: width=100 height=0 frameborder=0> 但是并没有弹出网页,后来过了几个小时整个部门的这个现象就自动消失了,开IE也不会中毒了,上面的那行代码也不再显示了,首先要声明那个部门没有做过任何操作。 这种现象背后的原因,就是ARP缓存污染(cache poison)加上IFrame 嵌入(Injection)的攻击。ARP cache poison这种攻击理论上提出了很久了,但是直到最近才开始比较多的被病毒程序所应用。
简单的说,就是如果你的局域网中的一台机器被感染上病毒(例如通过一个IE的安全漏洞等等),病毒程序可以以这台机器(A),在局域网内部发起ARP cache poison的攻击,来把这台机器作为中间人插入到其它的机器(假设为B)和网关中。(典型的man-in-the-middle攻击)。然后,机器B的所有的http网络访问,都可以被A截获并插入IFRAME信息,以试图感染机器B。在这里,攻击者试图通过iframe让IE访问一个恶意站点。这个站点往往会利用微软最近的安全漏洞,如ANI安全漏洞等等。如果B的系统没有及时安装最新的安全补丁的话,就会被感
染。 当 A 发现攻击无效,或 A 上的病毒被删除了的话,在机器 B 上你看到的这些奇怪的现象就会消失了。 如果存有网络活动记录,查看网络中的 ARP 的数据包,就可以确定是从那台机器发起的攻击。 我的微软的一个同事Neil Carpenter也有一篇不错的文章讨论这个问题。