日期:2008-04-21
病毒名称:Win32.TrojDownloader.Delf.745472(ARP蜗牛745472)
病毒类型:木马
危害指数:3
传播途径:网站
传播平台: WINNT/Windows 2000/Windows XP/Windows 2003/Me
病毒描述:
该病毒属木马类。Win32.TrojDownloader.Delf.745472是一个ARP病毒程序。该病毒运行时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
行为分析:
这是一个ARP病毒程序。该病毒运行时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。在这个过程中,用户网速将受到很大的影响,甚至完全断线。
1.程序运行后,生成文件
C:\WINDOWS\Cache
C:\WINDOWS\Cache\Arpmm.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\drivers\npf.sys
2.删除病毒自身文件
3.在注册表中添加了注册项,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ArpInsert "C:\WINDOWS\Cache\Arpmm.exe" 设置为自启动;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\npf ImagePath system32\drivers\npf.sys 注册为服务,可以自启动。
4.该病毒运行时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。 其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
墨者安全专家建议:
1.请开启墨者安全专家的“革离术”并根据提示创建安全用户,在安全用户下将获得墨者安全专家的实时防护,根据“革离术”特有的技术,判定为正常软件,给予默认放行。将陌生的的程序,提示给用户,然用户自行进行判断,将识别的恶意程序,给予“革离”使其失去运行的环境无法造成对系统的侵害。
2.建议已安装其他杀毒软件的用户,下载并安装墨者安全专家版,并开启“革离术”保护自己的杀毒软件,和其它计算机安全软件不会被此病毒所关掉,和破坏。以保障所使用的计算机安全防护软件能正常的运行和所有功能的正常使用。
3.点击墨者安全专家控制台——选择漏洞补丁——选择禁止优盘光驱自动运行。
4.请开启墨者安全专家的“革离术”进行实时防护,并使用系统安全漏洞中心,检查系统漏洞,发现漏洞请点击“修复”完成漏洞修补。
5.喜欢玩网络游戏、利用QQ聊天的用户,建议一定要养成良好的网络使用习惯,及时开启防火墙监控功能,切断病毒传播的途径,不给病毒以可乘之机。
6.保持使用墨者安全豪华版套装中的正版趋势反病毒专家,进行对系统病毒经常扫描的习惯,发现病毒或者隐患及时清除。
7.请将墨者安全豪华版中的正版趋势反病毒专家的自动升级功能开启,保持自动更新为最新病毒库,保证病毒及木马的及时发现及清除。