病毒名称(中文):
ARP下载者102400
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
102400
影响系统:
Win9xWinNT
病毒行为:
这是一个具有ARP欺骗的下载者病毒,在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截,并不断改写注册表破坏安全安全模式,阻止用户修复系统。
1.病毒运行后,会释放以下文件:
%system32%\Com\SMSS.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
在每个盘目录下生成自己的副本pagefile.pif及AUTORUN.INF文件.
2.该病毒会破坏安全模式和禁用了文件选项的显示隐藏文件的选项等恶意操作,使用户无法启动安全模式,
并且使隐藏文件无法被显示.由于该病毒是不断修改注册表,也使一些安全工具(金山清理专家等)
无法成功修复安全模式.
病毒自己不在注册表创建RUN,却把RUN项删的干干净净,使得一些的常用软件,安全工具等,不能开机自启动.
3.该病毒具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截.
会对以下一些安全工具和调试分析软件拦截:
OLLYDBG
IDA
MetaPad
SOFTICE
一些安全软件如ICESWORD,360....也会被关闭.
4.病毒会将自己拷贝到%system32%\Com下,更名为LSASS.EXE,并释放SMSS.EXE和ALG.EXE,最后运行LSASS.EXE,SMSS.EXE和ALG.EXE.由于病毒的进程名和系统的LSASS,SMSS进程名相同,使任务治理器无法结束它.
5.该病毒会远程注入dnsq.dll到其它进程中,在其它进程中启动一个线程来不断监视病毒的进程是否被关闭.若检测到被关闭,就自动再启动病毒进程.假如被一些杀毒软件和安全工具阻止创建了,被注入的其它进程就会调用SYSTEM32目录下的SHUTDOWN.EXE来关闭计算机(^_^病毒作者真是调皮啊!).
6.病毒会模拟资源治理器的右键菜单,使用户不易察觉病毒被自动运行,当用户利用资源治理器打开分区时,无论是直接运行或右键打开都会运行病毒.
7.该病毒会启动一个IE进程来连接站点http://w.c**o.com/r.htm和http://*s.k**02.com/**.asp,并下载恶意脚本执行.
8.该病毒会生成多个组件,并注册为IE插件.它的行为特征属恶意软件,会利用REGSVR32.EXE为netcfg.dll注册多个的CLASSSID,杀毒软件通常不能清除干净,会有大量残留.建议使用金山清理专家清除.
9.%system32%\drivers\alg.exe是个ARP病毒,利用WinPcap来收发网络包,对整个局域网内的所有IP进行ARP攻击.并在截获的是数据包内插入恶意代码,该代码会从http://1**.*1.2*5.1*0/setup.exe下载病毒的最新版本到本地运行.使被攻击的局域网内其它用户中毒.
