注册
 找回密码
 注册
江西广告网
查看: 597|回复: 0
打印 上一主题 下一主题

AUTO病毒携ARP木马来袭

[复制链接]

该用户从未签到

1
跳转到指定楼层
发表于 2008-12-4 10:11:52 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x

  一、“AUTO病毒126976”(Win32.Troj.AutoRun.126976) 威胁级别:★★

  病毒进入电脑系统后,会在%windows%\system32\目录下释放出病毒文件26E07E70.EXE、3DEF2E8.DLL、llk1133861483、n1133861485k.exe,并在全部磁盘中生成AUTO病毒,分别是auto.exe病毒文件和autorun.inf辅助文件。如果用户双击进入有AUTO病毒的盘符时,病毒就会再次被触发。要想清除掉它们,必须右键打开该盘,然后才能将其删除。

  在生成的病毒文件中,有一个名为update[1].txt的文本文件,它隐藏得很深,地址在%Documents and Settings%\用户名\Local Settings\Temporary Internet Files\Content.IE5\EC5UKR17\目录下,病毒可通过该文本文件中的信息,获知从何处下载最新版本的其它病毒。不过,根据该列表下载的病毒,毒霸都可查杀。

  同该文本文件一起生成的还有%Documents and Settings%\用户名\Local Settings\Temporary Internet Files\Content.IE5\GR8I0NOH\路径下的f2b4657b5568d072[1].exe病毒文件。

  病毒文件释放完毕后,病毒就会修改注册表,添加许多病毒启动项,并修改系统时间,使依赖系统时间的杀软失效。当系统重启后,这些病毒项就会随系统的启动而运行起来。由于系统资源被病毒大量占用,电脑的运行速度会明显变慢。如果使用反间谍隐蔽软件扫描,会发现在系统盘的许多重要文件夹下,都已经有以盗号木马为主的病毒在其中孳生。并且,还能发现许多由病毒伪装出来的毒霸相关网页。

  二、“ARP骗子86016”(Win32.Troj.VcingARP.a.86016) 威胁级别:★★

  此病毒顺利进入系统后,会在%windows%\system32\drivers\目录下释放出病毒文件alg.exe,然后连接百度主页,以测试网络是否通畅,如果发现网络是接通的,便开始破坏行为。这个过程,一般用户无法察觉,只有安装了防火墙且防范级别较高,才会收到提示。

  病毒运行后,就开始向局域网内的各台成员机发送大量的ARP欺骗代码,称本机器才是网关,从而影响各成员机的数据收发,拖慢局域网。刚开始时,只是网速略微变慢,但很快,这种“慢”就会变得让人无法忍受,最后整个局域网甚至会瘫痪掉。如果局域网内的用户想访问互联网,在打开任何网页时,都会出现莫名其妙的Google广告。

  而如果病毒发现局域网内用户试图通过点击浏览器下载文件时,就会截获下载地址,并其重定向到病毒下载地址。要是用户不注意检查下载文件的名称,就有可能误下载其它病毒文件,给电脑系统的安全造成更大威胁。

  金山反病毒工程师建议

  1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报, 这样才能真正保障计算机的安全。

  2.玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

<
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表