科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Arp病毒(motou.exe,smss.com,smss.exe)

Arp病毒(motou.exe,smss.com,smss.exe)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Arp病毒 motou.exe,smss.com,smss.exe,文件名称:motou.exe,文件大小:335106 byte,AV命名:Win32.Hack.ChatARP.y.372212 金山,编写语言:Borland Delphi 6.0 - 7.0,病毒类型:ARP病毒。

作者:zdnet安全频道 来源:论坛整理 2008年6月21日

关键字: motou.exe ARP病毒

  • 评论
  • 分享微博
  • 分享邮件

 

行为:

1、 释放病毒副本:

C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\ NetMonInstaller.exe
C:\WINDOWS\system32\ npf_mgm.exe

2、 添加启动项,开机自启:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
InternetExe = REG_SZ, "%病毒原路径%\motou.exe"

3、 原目录生成伪系统文件smss.com和smss.exe,进行ARP攻击。

4、 首先往124.255.255.255发送一个UDP数据包,检查是否网路通畅。

5、 每隔一段时间执行arp –d命令清空缓存。反IP\MAC地址绑定防止防御ARP攻击。

6、 smss.exe负责在169.254.0.2-169.254.255.25网段经过的数据包插一段广告网站的代码:

"{iframe src=hXXp://8v8.biz/ width=0 height=0 frameborder=0}{/iframe}"

解决方法:

1、 下载SREng,关闭不需要的进程,拔掉网线。

2、 打开SREng删除病毒启动项:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{InternetExe}{C:\Documents and Settings\孤独更可靠\桌面\motou.exe}  []

路径可能不一样,不过都是指向这个文件:motou.exe

3、 重启电脑,升级杀毒软件,全盘扫描。(用来删除病毒带来的嗅探文件)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章