當網域中有一台電腦中了 161816 病毒之後,所有同網域中的電腦都會受到影響。此病毒為 ARP 病毒,會發出 ARP 封包「欺騙」網域中其他正常的電腦,說它自己就是 gateway。
假設網域中有一台中毒電腦,稱為 A。
其他未中毒的電腦,稱為 B。
[[MORE]]
A 會傳出欺騙封包廣播給其他電腦 (ARP broadcast),而 B 收到這個封包,就會認為 A 就是 B 的 gateway。
於是 B 上網的時候,比如說連到 yahoo,就自然透過 A 去要 HTTP 資料。而 A 也很盡責將 yahoo 的網頁內容回傳給 B。於是 B 當然也能看到 yahoo 正常的頁面。
但是 A 會在這個頁面中,用 iframe 插入一個網頁,也就是 www.161816.com。
所以 B 上網的時候,雖然看到 yahoo 的頁面,但是會發現瀏覽器下方的狀態列會顯示「正在連線到 www.161816.com」,稍有警覺性的人這時候應該就會發現不對了,但大多數人認為可以正常上網就好,管他的。
由於用 iframe 插入正常頁面中,所以有時候會看到正常網頁的右上角會出現一個空白的小框框(就是 frame)。
當 B 的 iframe 連上 161816 網站之後,原本正常的 B 就會執行網頁上的程式,於是 B 也中毒了。
就算 B 裝上防毒軟體好了(目前小弟測試過 antivir 跟卡巴斯基都可以偵測此病毒,而 Symantec Norton 與 Trend Macro 都是視而不見),它將會變得寸步難行。因為 B 一連上 yahoo,防毒軟體偵測到 yahoo 網頁中的 iframe 含有惡意程式碼,於是會禁止顯示網頁。所以 B 等於被斷線了。
換句話說,網域中有一台電腦中了 161816 病毒,等於其他的電腦就只剩兩個選擇:1. 不裝防毒軟體,由 iframe 導致中毒 2. 裝防毒軟體,網路被防毒軟體斷線。
既然這麼慘,還是把網路線拔掉比較快吧。
那怎麼解決這隻病毒?
(啊,開會時間到了,小弟先走一步,晚點再說。)
