基本介紹
- 中文名:Backdoor.Win32.ARP.b
- 捕獲時間:2007-10-17
- 感染對象:Windows 2000/Windows XP
- 傳播途徑:網頁木馬,檔案捆綁
病毒名稱
Backdoor.Win32.ARP.b
病毒分析
該後門程式激活後,在%systemroot%\system32下生成用於ARP欺騙作用的PACKER.DLL,WANPACKET.DLL和WPCAP.DLL 檔案;在%systemroot%\system32\drivers下生成svchost.exe,scvhost.exe和npf.sys檔案;添加註冊表啟動項到HKLM下的RUN中指向svchost.exe檔案,以達到病毒隨系統自動啟動的目的;通過SCM註冊npf.sys為驅動實現數據包封裝;
通過命令行啟動scvhost.exe,向特定網段傳送ARP欺騙數據包,通過抓包封包的手段強行劫持區域網路中HTTP會話,將木馬腳本強行插入HTTP數據流,使得區域網路中其它主機在瀏覽網頁時會被種植木馬。
病毒添加的註冊表項:
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:qhbsdtr
指向檔案:%systemroot%\system32\drivers\svchost.exe
項:HKLM\SYSTEM\CurrentControlSet\Services\NPF
鍵值:ImagePath
指向檔案:%systemroot% \system32\drivers\npf.sys
