【编者按：前文，我们讲述了ARP病毒的原理，这里我们向大家介绍ARP病毒新的表现形式及相关案例。】

　　四、ARP病毒新的表现形式

　　由于现在的网络游戏数据包在发送过程中，均已采用了强悍的加密算法，因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒，与以前的一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是，它着重的不是对网络游戏数据包的解密，而是对于HTTP请求访问的修改。

　　HTTP是应用层的协议，主要是用于WEB网页访问。还是以上面的局域网环境举例，如果局域网中一台电脑S要请求某个网站页面，如想请求www.sina.com.cn这个网页，这台电脑会先向网关发送HTTP请求，说：“我想登陆www.sina.com.cn网页，请你将这个网页下载下来，并发送给我。”这样，网关就会将www.sina.com.cn页面下载下来，并发送给S电脑。这时，如果A这台电脑通过向全网发送伪造的ARP欺骗广播，自身伪装成网关，成为一台ARP中毒电脑的话，这样当S电脑请求WEB网页时，A电脑先是“好心好意”地将这个页面下载下来，然后发送给S电脑，但是它在返回给S电脑时，会向其中插入恶意网址连接！该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞，向S电脑种植木马病毒！同样，如果D电脑也是请求WEB页面访问，A电脑同样也会给D电脑返回带毒的网页，这样，如果一个局域网中存在这样的ARP病毒电脑的话，顷刻间，整个网段的电脑将会全部中毒！沦为黑客手中的僵尸电脑！

　　案例：

　　某企业用户反映，其内部局域网用户无论访问那个网站，KV杀毒软件均报病毒：EXPloit.ANIfile.o 。

　　在经过对该局域网分析之后，发现该局域网中有ARP病毒电脑导致其它电脑访问网页时，返回的网页带毒，并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个

[1] [2] 下一页