Backdoor.Win32.ARP.b
病毒名称
Backdoor.Win32.ARP.b
捕获时间
2007-10-17
病毒症状
该病毒是一个使用delphi编写的后门程序,长度为188,416字节,图标为windows默认可执行文件图标,病毒扩展名为exe,传播途径主要为网页挂马,文件捆绑,黑客攻击。
病毒分析
该后门程序激活后,在%systemroot%\\system32下生成用于ARP欺骗作用的PACKER.DLL,WANPACKET.DLL和WPCAP.DLL 文件;在%systemroot%\\system32\\drivers下生成svchost.exe,scvhost.exe和npf.sys文件;添加注册表启动项到HKLM下的RUN中指向svchost.exe文件,以达到病毒随系统自动启动的目的;通过SCM注册npf.sys为驱动实现数据包封装;
通过命令行启动scvhost.exe,向特定网段发送ARP欺骗数据包,通过抓包封包的手段强行劫持局域网中HTTP会话,将木马脚本强行插入HTTP数据流,使得局域网中其它主机在浏览网页时会被种植木马。
病毒添加的注册表项:
项:HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键值:qhbsdtr
指向文件:%systemroot%\\system32\\drivers\\svchost.exe
项:HKLM\\SYSTEM\\CurrentControlSet\\Services\\NPF
键值:ImagePath
指向文件:%systemroot% \\system32\\drivers\pf.sys
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马,文件捆绑,HTTP会话劫持