- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
作者:孤独更可靠
文件名称:motou.exe
文件大小:335106 byte
AV命名:
Win32.Hack.ChatARP.y.372212 金山
Dropper.Win32.Agent.yse 瑞星
Backdoor.Win32.Delf.cjx 卡吧
加壳方式:Upack 0.3.9 beta2s
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:ARP病毒
文件MD5:d74ee3ce5ef64f0d8b51705f1cb31aaf
行为:
1、 释放病毒副本:
C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\ NetMonInstaller.exe
C:\WINDOWS\system32\ npf_mgm.exe
2、 添加启动项,开机自启:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
InternetExe = REG_SZ, "%病毒原路径%\motou.exe"
3、 原目录生成伪系统文件smss.com和smss.exe,进行ARP攻击。
4、 首先往124.255.255.255发送一个UDP数据包,检查是否网路通畅。
5、 每隔一段时间执行arp –d命令清空缓存。反IP\MAC地址绑定防止防御ARP攻击。
6、 smss.exe负责在169.254.0.2-169.254.255.25网段经过的数据包插一段广告网站的代码:
"{iframe src=hXXp://8v8.biz/ width=0 height=0 frameborder=0}{/iframe}"
解决方法:
1、 下载SREng,关闭不需要的进程,拔掉网线。
2、 打开SREng删除病毒启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{InternetExe}{C:\Documents and Settings\孤独更可靠\桌面\motou.exe} []
路径可能不一样,不过都是指向这个文件:motou.exe
3、 重启电脑,升级杀毒软件,全盘扫描。(用来删除病毒带来的嗅探文件)
 |
|
IP卡
狗仔卡
发表于 2008-1-11 18:21:07
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2008-1-11 18:24:20
