Backdoor.Win32.ARP.b

病毒名称

Backdoor.Win32.ARP.b

捕获时间

2007-10-17

病毒症状

该病毒是一个使用delphi编写的后门程序，长度为188,416字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为网页挂马，文件捆绑，黑客攻击。

病毒分析

该后门程序激活后，在%systemroot%\\system32下生成用于ARP欺骗作用的PACKER.DLL,WANPACKET.DLL和WPCAP.DLL 文件；在%systemroot%\\system32\\drivers下生成svchost.exe，scvhost.exe和npf.sys文件；添加注册表启动项到HKLM下的RUN中指向svchost.exe文件，以达到病毒随系统自动启动的目的；通过SCM注册npf.sys为驱动实现数据包封装；

通过命令行启动scvhost.exe，向特定网段发送ARP欺骗数据包，通过抓包封包的手段强行劫持局域网中HTTP会话，将木马脚本强行插入HTTP数据流，使得局域网中其它主机在浏览网页时会被种植木马。

病毒添加的注册表项：

项：HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

键值：qhbsdtr

指向文件：%systemroot%\\system32\\drivers\\svchost.exe

项：HKLM\\SYSTEM\\CurrentControlSet\\Services\\NPF

键值：ImagePath

指向文件：%systemroot% \\system32\\drivers\pf.sys

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马，文件捆绑，HTTP会话劫持