「VBS自動木馬下載器11164」(VBS.AutoRun.al.11164),這是一個能自動傳播的病毒下載器。它會設置系統時間至2003年,導致依賴系統時間的殺毒軟件失效,然後從病毒作者指定的地址下載木馬程序執行。
「ARP蝸牛745472」(Win32.TrojDownloader.Delf.745472),這是一個ARP病毒程序。該病毒運行時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。在這個過程中,用戶網速將受到很大的影響,甚至完全斷線。
一、「VBS自動木馬下載器11164」(VBS.AutoRun.al.11164) 威脅級別:★
這一個VBS格式的網頁病毒,主要功能是下載木馬程序。它的基本原理並不複雜,但因為能夠通過網頁掛馬和AUTO傳播的方式進行擴散,大面積傳播的趨勢較高。
病毒進入電腦後,立即釋放病毒文件「.vbs」到系統盤的%WINDOWS%\system32\目錄和%WINDOW%\system32\wbem\目錄下。注意,這個「.vbs」是沒有名字的,這可以作為識別它的特徵。
接著,病毒修改系統時間至2003年,致使卡巴斯基等依賴系統時間來進行激活和升級的殺毒軟件失效。當然,如果你的電腦中有其它軟件也是依賴系統時間的,那它們也會受到影響。與此同時,病毒會搜索連接到中毒電腦上的所有存儲設備,比如U盤和本地硬盤,在它們的根目錄中創建autorun.inf文件,實現自動播放功能。這樣一來,它就能夠在各種存儲設備之間自由地傳播,不斷擴大傳染範圍。
毒霸反病毒工程師在病毒代碼中發現一個名為http://2**3.cn/x*W/X1.ASP的網址,經檢驗,這是病毒作者指定的遠程服務器。病毒會悄悄連接它,下載其它木馬文件,以「.exe」的名稱隱藏到%WINDOWS%\system32\目錄下運行,引發更多無法估計的損失。
二、「ARP蝸牛745472」(Win32.TrojDownloader.Delf.745472) 威脅級別:★★
ARP病毒最令人無法忍受的地方就是它對網速的影響。整個局域網中,只要有一台電腦中了ARP,其餘電腦的網速都會被拖後腿,嚴重時甚至會死機。本則預警播報所介紹的就是這樣一個病毒。
該病毒進入用戶系統後,釋放文件、並修改系統註冊表實現自動運行。當它成功運行後,會欺騙局域網內所有主機和路由器,向它們發送大量垃圾信息,並冒充成網關,讓所有上網的數據都必須經過中毒電腦。
在這個過程中,由於其他用戶原來是直接通過路由器上網,而現在轉由通過病毒主機上網,那麼在切換的時候就會斷一次線。等再連接上後,網速就會越來越慢,直到掉線。給用戶的使用造成極大不便。
喜歡手動殺毒的用戶,可在系統盤中找到病毒釋放出的五個病毒文件,分別為%WINDOWS%\system32\目錄下的packet.dll、wanpacket.dll、wpcap.dll,以及%WINDOWS%\Cache\目錄下的Arpmm.exe,還有%WINDOWS%\system32\drivers\目錄下的npf.sys。另外需告知大家的是,該病毒具備自我刪除功能,運行完畢後,它就會自我刪除,使得用戶難以找到它。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
ARP蝸牛..這類AUTORUN 的病毒 真是最近常出現的病毒、所以病毒的來原,要多多注意E-MAIL 或 隨身碟 這幾個媒體檔案的來源 都要小心注意才是。