預(yù)警:“ARP蝸牛”攻擊堵塞局域網(wǎng)
一、“VBS自動木馬下載器11164”(VBS.AutoRun.al.11164) 威脅級別:★
這一個VBS格式的網(wǎng)頁病毒,主要功能是下載木馬程序。它的基本原理并不復(fù)雜,但因為能夠通過網(wǎng)頁掛馬和AUTO傳播的方式進(jìn)行擴散,大面積傳播的趨勢較高。
病毒進(jìn)入電腦后,立即釋放病毒文件“.vbs”到系統(tǒng)盤的%WINDOWS%system32目錄和%WINDOW%system32wbem目錄下。注意,這個“.vbs”是沒有名字的,這可以作為識別它的特征。
接著,病毒修改系統(tǒng)時間至2003年,致使卡巴斯基等依賴系統(tǒng)時間來進(jìn)行激活和升級的殺毒軟件失效。當(dāng)然,如果你的電腦中有其它軟件也是依賴系統(tǒng)時間的,那它們也會受到影響。與此同時,病毒會搜索連接到中毒電腦上的所有存儲設(shè)備,比如U盤和本地硬盤,在它們的根目錄中創(chuàng)建autorun.inf文件,實現(xiàn)自動播放功能。這樣一來,它就能夠在各種存儲設(shè)備之間自由地傳播,不斷擴大傳染范圍。
二、“ARP蝸牛745472”(Win32.TrojDownloader.Delf.745472) 威脅級別:★★
ARP病毒最令人無法忍受的地方就是它對網(wǎng)速的影響。整個局域網(wǎng)中,只要有一臺電腦中了ARP,其余電腦的網(wǎng)速都會被拖后腿,嚴(yán)重時甚至?xí)罊C。本則預(yù)警播報所介紹的就是這樣一個病毒。
該病毒進(jìn)入用戶系統(tǒng)后,釋放文件、并修改系統(tǒng)注冊表實現(xiàn)自動運行。當(dāng)它成功運行后,會欺騙局域網(wǎng)內(nèi)所有主機和路由器,向它們發(fā)送大量垃圾信息,并冒充成網(wǎng)關(guān),讓所有上網(wǎng)的數(shù)據(jù)都必須經(jīng)過中毒電腦。
在這個過程中,由于其他用戶原來是直接通過路由器上網(wǎng),而現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng),那么在切換的時候就會斷一次線。等再連接上后,網(wǎng)速就會越來越慢,直到掉線。給用戶的使用造成極大不便。
喜歡手動殺毒的用戶,可在系統(tǒng)盤中找到病毒釋放出的五個病毒文件,分別為%WINDOWS%system32目錄下的packet.dll、wanpacket.dll、wpcap.dll,以及%WINDOWS%Cache目錄下的Arpmm.exe,還有%WINDOWS%system32drivers目錄下的npf.sys。另外需告知大家的是,該病毒具備自我刪除功能,運行完畢后,它就會自我刪除,使得用戶難以找到它。
金山反病毒工程師建議
1.最好安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控,防范日益增多的病毒。用戶在安裝反病毒軟件之后,應(yīng)將一些主要監(jiān)控經(jīng)常打開(如郵件監(jiān)控、內(nèi)存監(jiān)控等)、經(jīng)常進(jìn)行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由于玩網(wǎng)絡(luò)游戲、利用QQ聊天的用戶數(shù)量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣,及時升級殺毒軟件,開啟防火墻以及實時監(jiān)控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
【編輯推薦】
