爱毒霸社区
拒绝当“肉鸡” 保安获大奖!
顽固病毒解决方案大全
一点一滴学电脑应用技巧
毒霸2008教程——清理专家
欺骗是攻击者最热衷的手法
爱毒霸社区推荐安全工具下载
如何使用命令行查毒
远程清除机器狗病毒实战
清理专家在手,菜鸟杀毒不愁
如何判断进程或程序是否安全
windows安全漏洞的解释索引
史上最强磁碟机病毒清除思路
金山ARP防火墙1.2版功能简介
Win32.PSWTroj.Win32.63011
病毒名称(中文):
ARP下载帮凶63011
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马下载器
病毒长度:
63011
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个木马下载者。它会从指定的地址下载大量的木马程序到用户电脑上运行,其中包括可对全局域网发动攻击的ARP木马。
1.病毒运行后,产生以下病毒文件
%TEMP%\1.exe
%TEMP%\2.exe
%TEMP%\3.exe
%TEMP%\4.exe
%TEMP%\5.exe
%TEMP%\6.exe
%TEMP%\7.exe
%TEMP%\oKoK.exe
%TEMP%\M1.ex
%ProgramFiles%\svchost.exe
%ProgramFiles%\Internet Explorer\OnlO0r.dll
%ProgramFiles%\Common Files\fjOs0r.dll
%windir%\Fonts\mndoor0.dll
%windir%\system32\qhdoor0.dll
%windir%\system32\qqdoor0.dll
%windir%\system32\qzdoor0.dll
%windir%\system32\fhdoor0.dll
%windir%\system32\6to4ex.dll
2.生成的DLL文件都会被注入到系统活动进程中,实现隐蔽下载
3.另外木马程序还会为exploerer.exe进程创建远线程,以此来隐蔽的下载主要的木马程序
4.下载回%TEMP%\oKoK.exe后会生成%ProgramFiles%\svchost.exe,该文件会对局域网进行ARP欺骗.致使局域网内机器要访问的网页
文件都会被插入代码,该JS的主要功能是从http://w18.vg/ms.gif下载恶意脚本,然后利用
MS06-014漏洞,超星阅读器漏洞从http://w**.vg/*.exe下载木马,因大量的木马程序会被下载到本地执行,从而导致系统反应格外迟钝.
5.木马程序的下载来源为
http://w18.vg/oK.txt(该文件本内容为加密数据,主要存放下载地址列表,解密后为如下内容)
http://2*9.*1.2*2.162/Images/oKoK.exe
http://2*9.*1.2*2.162/Images/M1.exe
http://2*9.*1.2*2.162/Images/8.exe
http://2*9.*1.2*2.162/Images/7.exe
http://2*9.*1.2*2.162/Images/6.exe
http://2*9.*1.2*2.162/Images/5.exe
http://2*9.*1.2*2.162/Images/4.exe
http://2*9.*1.2*2.162/Images/3.exe
http://2*9.*1.2*2.162/Images/2.exe
http://2*9.*1.2*2.162/Images/1.exe
特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。