iT邦幫忙

32

「ARP蝸牛」欺騙所有主機和路由器拖慢網速

  • 分享至 

  • xImage
  •  

「VBS自動木馬下載器11164」(VBS.AutoRun.al.11164),這是一個能自動傳播的病毒下載器。它會設置系統時間至2003年,導致依賴系統時間的殺毒軟件失效,然後從病毒作者指定的地址下載木馬程序執行。
「ARP蝸牛745472」(Win32.TrojDownloader.Delf.745472),這是一個ARP病毒程序。該病毒運行時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。在這個過程中,用戶網速將受到很大的影響,甚至完全斷線。
一、「VBS自動木馬下載器11164」(VBS.AutoRun.al.11164) 威脅級別:★
這一個VBS格式的網頁病毒,主要功能是下載木馬程序。它的基本原理並不複雜,但因為能夠通過網頁掛馬和AUTO傳播的方式進行擴散,大面積傳播的趨勢較高。
病毒進入電腦後,立即釋放病毒文件「.vbs」到系統盤的%WINDOWS%\system32\目錄和%WINDOW%\system32\wbem\目錄下。注意,這個「.vbs」是沒有名字的,這可以作為識別它的特徵。
接著,病毒修改系統時間至2003年,致使卡巴斯基等依賴系統時間來進行激活和升級的殺毒軟件失效。當然,如果你的電腦中有其它軟件也是依賴系統時間的,那它們也會受到影響。與此同時,病毒會搜索連接到中毒電腦上的所有存儲設備,比如U盤和本地硬盤,在它們的根目錄中創建autorun.inf文件,實現自動播放功能。這樣一來,它就能夠在各種存儲設備之間自由地傳播,不斷擴大傳染範圍。
毒霸反病毒工程師在病毒代碼中發現一個名為http://2**3.cn/x*W/X1.ASP的網址,經檢驗,這是病毒作者指定的遠程服務器。病毒會悄悄連接它,下載其它木馬文件,以「.exe」的名稱隱藏到%WINDOWS%\system32\目錄下運行,引發更多無法估計的損失。
二、「ARP蝸牛745472」(Win32.TrojDownloader.Delf.745472) 威脅級別:★★
ARP病毒最令人無法忍受的地方就是它對網速的影響。整個局域網中,只要有一台電腦中了ARP,其餘電腦的網速都會被拖後腿,嚴重時甚至會死機。本則預警播報所介紹的就是這樣一個病毒。
該病毒進入用戶系統後,釋放文件、並修改系統註冊表實現自動運行。當它成功運行後,會欺騙局域網內所有主機和路由器,向它們發送大量垃圾信息,並冒充成網關,讓所有上網的數據都必須經過中毒電腦。
在這個過程中,由於其他用戶原來是直接通過路由器上網,而現在轉由通過病毒主機上網,那麼在切換的時候就會斷一次線。等再連接上後,網速就會越來越慢,直到掉線。給用戶的使用造成極大不便。
喜歡手動殺毒的用戶,可在系統盤中找到病毒釋放出的五個病毒文件,分別為%WINDOWS%\system32\目錄下的packet.dll、wanpacket.dll、wpcap.dll,以及%WINDOWS%\Cache\目錄下的Arpmm.exe,還有%WINDOWS%\system32\drivers\目錄下的npf.sys。另外需告知大家的是,該病毒具備自我刪除功能,運行完畢後,它就會自我刪除,使得用戶難以找到它。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟件進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟件之後,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟件,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
5min
iT邦好手 3 級 ‧ 2008-04-11 09:28:43

好分享

0
鐵殼心
iT邦高手 1 級 ‧ 2008-04-11 09:29:49

感謝分享新知
趕快檢查一下自己公司的電腦們....

0
john651216
iT邦研究生 1 級 ‧ 2008-04-11 10:06:25

感謝分享

0
ping
iT邦研究生 1 級 ‧ 2008-04-11 10:14:08

謝謝分享

0
hanching24
iT邦新手 4 級 ‧ 2008-04-11 11:59:41

ARP蝸牛..這類AUTORUN 的病毒 真是最近常出現的病毒、所以病毒的來原,要多多注意E-MAIL 或 隨身碟 這幾個媒體檔案的來源 都要小心注意才是。

0
skite
iT邦大師 5 級 ‧ 2008-04-11 14:36:28

這兩隻我倒是都還沒見過,最近修電腦最常遇到的還是InfoStealer了,實在有夠討厭…

0

有關ARP的病毒是真的很麻煩
感謝分享

0
davistai
iT邦大師 1 級 ‧ 2008-04-11 23:08:43

good!

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-14 09:14:48

謝謝分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-20 12:25:41

感謝分享這個資訊

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-20 13:08:06

非常好的資訊

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-05-01 18:00:34

第一次看到走 ARP 的病毒,真厲害

0
xxxyyyzzz
iT邦研究生 1 級 ‧ 2008-05-06 10:58:36

謝謝分享.
寫病毒程式的人也太閒了.

0
loripan
iT邦研究生 1 級 ‧ 2008-05-08 01:16:07

感謝提供分享

0
jennymsn
iT邦好手 10 級 ‧ 2008-05-08 23:07:17

謝謝分享

0
funkent
iT邦高手 1 級 ‧ 2008-05-12 21:46:56

病毒的知識應該要推廣到end user,因為user真是太愛嚐鮮,新病毒一來馬上中

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-24 23:33:21

感謝分享此資訊

0
jamesjan
iT邦高手 1 級 ‧ 2008-09-11 09:10:30

感謝分享,蠻受用的

0
doz
iT邦好手 8 級 ‧ 2008-09-13 23:53:09

MIS越來越累,動不動一台電腦就可以拖累整個網域~~
查起來還挺麻煩的

0
Sean
iT邦研究生 5 級 ‧ 2009-07-15 08:28:30

感謝分享, 滿有用的知識

我要留言

立即登入留言