请输入您要查询的百科知识:

 

词条 Backdoor.Win32.ARP.b
释义

病毒名称

Backdoor.Win32.ARP.b

捕获时间

2007-10-17

病毒症状

该病毒是一个使用delphi编写的后门程序,长度为188,416字节,图标为windows默认可执行文件图标,病毒扩展名为exe,传播途径主要为网页挂马,文件捆绑,黑客攻击。

病毒分析

该后门程序激活后,在%systemroot%\\system32下生成用于ARP欺骗作用的PACKER.DLL,WANPACKET.DLL和WPCAP.DLL 文件;在%systemroot%\\system32\\drivers下生成svchost.exe,scvhost.exe和npf.sys文件;添加注册表启动项到HKLM下的RUN中指向svchost.exe文件,以达到病毒随系统自动启动的目的;通过SCM注册npf.sys为驱动实现数据包封装;

通过命令行启动scvhost.exe,向特定网段发送ARP欺骗数据包,通过抓包封包的手段强行劫持局域网中HTTP会话,将木马脚本强行插入HTTP数据流,使得局域网中其它主机在浏览网页时会被种植木马。

病毒添加的注册表项:

项:HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

键值:qhbsdtr

指向文件:%systemroot%\\system32\\drivers\\svchost.exe

项:HKLM\\SYSTEM\\CurrentControlSet\\Services\PF

键值:ImagePath

指向文件:%systemroot% \\system32\\drivers\pf.sys

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马,文件捆绑,HTTP会话劫持

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 16:02:51