預警:“ARP蝸牛”攻擊堵塞局域網
一、“VBS自動木馬下載器11164”(VBS.AutoRun.al.11164) 威脅級別:★
這一個VBS格式的網頁病毒,主要功能是下載木馬程序。它的基本原理并不復雜,但因為能夠通過網頁掛馬和AUTO傳播的方式進行擴散,大面積傳播的趨勢較高。
病毒進入電腦后,立即釋放病毒文件“.vbs”到系統盤的%WINDOWS%system32目錄和%WINDOW%system32wbem目錄下。注意,這個“.vbs”是沒有名字的,這可以作為識別它的特征。
接著,病毒修改系統時間至2003年,致使卡巴斯基等依賴系統時間來進行激活和升級的殺毒軟件失效。當然,如果你的電腦中有其它軟件也是依賴系統時間的,那它們也會受到影響。與此同時,病毒會搜索連接到中毒電腦上的所有存儲設備,比如U盤和本地硬盤,在它們的根目錄中創建autorun.inf文件,實現自動播放功能。這樣一來,它就能夠在各種存儲設備之間自由地傳播,不斷擴大傳染范圍。
二、“ARP蝸牛745472”(Win32.TrojDownloader.Delf.745472) 威脅級別:★★
ARP病毒最令人無法忍受的地方就是它對網速的影響。整個局域網中,只要有一臺電腦中了ARP,其余電腦的網速都會被拖后腿,嚴重時甚至會死機。本則預警播報所介紹的就是這樣一個病毒。
該病毒進入用戶系統后,釋放文件、并修改系統注冊表實現自動運行。當它成功運行后,會欺騙局域網內所有主機和路由器,向它們發送大量垃圾信息,并冒充成網關,讓所有上網的數據都必須經過中毒電腦。
在這個過程中,由于其他用戶原來是直接通過路由器上網,而現在轉由通過病毒主機上網,那么在切換的時候就會斷一次線。等再連接上后,網速就會越來越慢,直到掉線。給用戶的使用造成極大不便。
喜歡手動殺毒的用戶,可在系統盤中找到病毒釋放出的五個病毒文件,分別為%WINDOWS%system32目錄下的packet.dll、wanpacket.dll、wpcap.dll,以及%WINDOWS%Cache目錄下的Arpmm.exe,還有%WINDOWS%system32drivers目錄下的npf.sys。另外需告知大家的是,該病毒具備自我刪除功能,運行完畢后,它就會自我刪除,使得用戶難以找到它。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟件進行全面監控,防范日益增多的病毒。用戶在安裝反病毒軟件之后,應將一些主要監控經常打開(如郵件監控、內存監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由于玩網絡游戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟件,開啟防火墻以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
【編輯推薦】
