ARP下载者102400 耍无赖将电脑强制关机
- 出处:安全中国
- 时间:2007-12-05
病毒名称:Win32.Troj.Downloader.yl.102400
中文名字:ARP下载者102400
危险级别:★★
病毒进入系统后,会释放出5个病毒文件,分别为%WINDOWS%\system32\Com\目录下的SMSS.EXE、netcfg.dll、netcfg.000,以及%\WINDOWS%\system32\drivers\目录下的alg.exe目录下,还有释放出%\WINDOWS%\system32\下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件,如果用户双击进入受感染磁盘,病毒就会被再次激活。此后,只要用户在此台电脑上使用U盘等移动存储器器,病毒就会立刻传染上去。病毒还将自己拷贝到%WINDOWS%\system32\Com\目录下,更名为 LSASS.EXE,并释放并运行病毒文件SMSS.EXE 和 ALG.EXE ,由于病毒的进程名和系统的 LSASS、SMSS 进程名相同,任务管理器将无法结束它。该病毒会修改注册表,禁用显示隐藏文件选项,使隐藏文件无法被显示,并破坏系统安全模式的相关数据,使用户无法启动安全模式。它还会不断修改注册表,这会使得部分安全工具无法成功修复安全模式。该病毒具有映象劫持功能,可以破坏许多常用安全工具和调试分析软件的正常运行,如果它发现自己无法解决安全软件,就会像耍无赖一样将电脑强制关机。最后该病毒悄悄建立远程连接,从http://w.c**o.com/*.htm 和http://j*.k***2.com/g*.asp这两个黑客指定的地址下载恶意脚本执行。此外,之前生成的alg.exe 是个ARP 病毒,它会利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行攻击,给网络中的所有用户造成影响。
- 作者:安全中国
Back