词条 | Backdoor.Win32.ARP.b |
释义 | 病毒名称 Backdoor.Win32.ARP.b 捕获时间 2007-10-17 病毒症状 该病毒是一个使用delphi编写的后门程序,长度为188,416字节,图标为windows默认可执行文件图标,病毒扩展名为exe,传播途径主要为网页挂马,文件捆绑,黑客攻击。 病毒分析 该后门程序激活后,在%systemroot%\\system32下生成用于ARP欺骗作用的PACKER.DLL,WANPACKET.DLL和WPCAP.DLL 文件;在%systemroot%\\system32\\drivers下生成svchost.exe,scvhost.exe和npf.sys文件;添加注册表启动项到HKLM下的RUN中指向svchost.exe文件,以达到病毒随系统自动启动的目的;通过SCM注册npf.sys为驱动实现数据包封装; 通过命令行启动scvhost.exe,向特定网段发送ARP欺骗数据包,通过抓包封包的手段强行劫持局域网中HTTP会话,将木马脚本强行插入HTTP数据流,使得局域网中其它主机在浏览网页时会被种植木马。 病毒添加的注册表项: 项:HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值:qhbsdtr 指向文件:%systemroot%\\system32\\drivers\\svchost.exe 项:HKLM\\SYSTEM\\CurrentControlSet\\Services\PF 键值:ImagePath 指向文件:%systemroot% \\system32\\drivers\pf.sys 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页木马,文件捆绑,HTTP会话劫持 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。