不支持Flash

ARP下载者爆发 涂改者修改系统自我保护

http://www.sina.com.cn 2007年12月03日 10:07  中关村在线
作者:中关村在线 张齐

    记者近日从金山公司获悉,最新的两种变种病毒正在大肆传播。

    “涂改者234496”(Win32.Troj.Hider.i.234496),这是一个恶作剧程序,复制自身到系统目录,设置自身为系统隐藏文件,并通过添加到系统服务方式随系统启动。该程序会修改系统文件夹选项中的“显示隐藏文件”部分来保护自身,并且修改exe文件的关联方式。
 
    “ARP下载者102400”(Win32.Troj.Downloader.yl.102400),这是一个具有ARP 欺骗的下载者病毒,在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能,可以对一些安全工具和调试分析软件进行拦截,并不断改写注册表破坏安全安全模式,阻止用户修复系统。
 
    一、“涂改者234496”(Win32.Troj.Hider.i.234496)  威胁级别:★

    这是个恶作剧病毒,进入系统后,它会在%\

WINDOWS%\system32\目录下释放出isass.exe病毒文件,并修改
注册表
系统服务项,将自己的相关信息加入其中,达到随系统自动启动之目的。同时,它会把自己在系统文件夹中的显示模式修改为“隐藏”,跟用户玩起捉迷藏。接着,它修改系统中exe文件的属性信息,用户如果查看属性,可以发现exe文件全被解释为“File Folder(文件夹)”,除此之外,不会对用户系统造成别的影响。此病毒虽然无明显危害,但由于它会把隐藏文件设为不可见,因此还是对用户正常使用电脑造成一定影响。
 
    二、“ARP下载者102400 ”(Win32.Troj.Downloader.yl.102400)  威胁级别:★★

    病毒进入系统后,会释放出5个病毒文件,分别为%WINDOWS%\system32\Com\目录下的SMSS.EXE、netcfg.dll、netcfg.000,以及%\WINDOWS%\system32\drivers\目录下的alg.exe目录下,还有释放出%\WINDOWS%\system32\下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件,如果用户双击进入受感染磁盘,病毒就会被再次激活。此后,只要用户在此台电脑上使用U盘等移动存储器器,病毒就会立刻传染上去。

    病毒还将自己拷贝到%WINDOWS%\system32\Com\目录下,更名为 LSASS.EXE,并释放并运行病毒文件SMSS..EXE 和 ALG.EXE ,由于病毒的进程名和系统的 LSASS、SMSS 进程名相同,任务管理器将无法结束它。该病毒会修改注册表,禁用显示隐藏文件选项,使隐藏文件无法被显示,并破坏系统安全模式的相关数据,使用户无法启动安全模式。

    它还会不断修改注册表,这会试得部分安全工具无法成功修复安全模式。该病毒具有映象劫持功能,可以破坏许多常用安全工具和调试分析软件的正常运行,如果它发现自己无法解决安全软件,就会像耍无赖一样将电脑强制关机。最后该病毒悄悄建立远程连接,从http://w.c**o.com/*.htm 和 http://j*.k***2.com/g*.asp这两个黑客指定的地址下载恶意脚本执行。此外,之前生成的alg.exe 是个ARP 病毒,它会利用 WinPcap 来收发网络包,对整个局域网内的所有 IP 进行攻击,给网络中的所有用户造成影响。

Powered By Google
不支持Flash
·《对话城市》直播中国 ·城市发现之旅有奖活动 ·企业邮箱换新颜 ·邮箱大奖等你拿
不支持Flash