好像是ARP下载者102400病毒
病毒名称(中文):ARP下载者102400 病毒别名:
威胁级别:★★☆☆☆ 病毒类型:木马下载器
病毒长度:102400 影响系统:Win9x WinNT
病毒行为:
这是一个具有ARP 欺骗的下载者病毒,在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截,并不断改写注册表破坏安全安全模式,阻止用户修复系统。
1.病毒运行后,会释放以下文件:
%system32%\Com\SMSS.EXE
%system32%\dnsq.dll
%system32%\drivers\alg.exe
%system32%\com\netcfg.dll
%system32%\com\netcfg.000
在每个盘目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件.
2.该病毒会破坏安全模式和禁用了文件选项的显示隐藏文件的选项等恶意操作,使用户无法启动安全模式,
并且使隐藏文件无法被显示.由于该病毒是不断修改注册表,也使一些安全工具(金山清理专家等)
无法成功修复安全模式.
病毒自己不在注册表创建 RUN,却把RUN 项删的干干净净,使得一些的常用软件,安全工具等,不能开机自启动.
3.该病毒具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截.
会对以下一些安全工具和调试分析软件拦截:
OLLYDBG
IDA
MetaPad
SOFTICE
一些安全软件如 ICESWORD ,360.... 也会被关闭.
4.病毒会将自己拷贝到 %system32%\Com下,更名为 LSASS.EXE,并释放SMSS.EXE 和 ALG.EXE ,最后运行LSASS.EXE, SMSS.EXE 和 ALG.EXE. 由于病毒的进程名和系统的 LSASS,SMSS 进程名相同,使任务管理器无法结束它.
5.该病毒会远程注入 dnsq.dll 到其它进程中,在其它进程中启动一个线程来不断监视病毒的进程是否被关闭.若检测到被关闭,就自动再启动病毒进程. 如果被一些杀毒软件和安全工具阻止创建了,被注入的其它进程就会调用 SYSTEM32 目录下的 SHUTDOWN.EXE 来关闭计算机( ^_^ 病毒作者真是淘气啊! ).
6.病毒会模拟资源管理器的右键菜单,使用户不易察觉病毒被自动运行,当用户利用资源管理器打开分区时,无论是直接运行或右键打开都会运行病毒.
7.该病毒会启动一个 IE 进程来连接站点 http://w.c**o.com/r.htm 和 http://*s.k**02.com/**.asp,并下载恶意脚本执行.
8.该病毒会生成多个组件,并注册为 IE 插件. 它的行为特征属恶意软件,会利用 REGSVR32.EXE 为 netcfg.dll 注册多个的CLASSSID, 杀毒软件通常不能清除干净,会有大量残留. 建议使用金山清理专家清除.
9. %system32%\drivers\alg.exe 是个ARP 病毒,利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行 ARP 攻击.并在截获的是数据包内插入恶意代码, 该代码会从 http://1**.*1.2*5.1*0/setup.exe 下载病毒的最新版本到本地运行.使被攻击的局域网内其它用户中毒.
下载金山清理专家试试 |
楼主: pdh1217
楼主
发表于 2007-12-22 16:29:25
改名了没??