“黑金ARP”（Backdoor.Win32.ARP.g）

“黑金ARP”（Backdoor.Win32.ARP.g）

该病毒是一个使用delphi编写的病毒程序，采用FSG 2.0加壳以躲过特征码扫描，加壳后长度177,425字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为网页挂马，文件捆绑，会话劫持。　

病毒分析   

　　当病毒被激活后，在%systemroot%\system32下生成用于ARP欺骗作用的PACKER.DLL,WANPACKET.DLL和WPCAP.DLL 文件；在%systemroot%\system32\drivers下生成svchost.exe，scvhost.exe和npf.sys文件；在注册表HKLM的Run下新建子项crsss，其值为“%systemroot%\system32\drivers\svchost.exe”，以达到病毒自启动的目的；通过SCM将npf.sys为注册为驱动以实现数据包封装；通过命令行启动scvhost.exe，向特定网段（如：从192.168.0.1到192.168.0.255）通过抓包封包的手段发送带有ARP欺骗代码的数据包，使得局域网用户访问正常网页也会无形中访问到病毒木马的网页，从而不知不觉中已从这些网页中下载并运行了木马病毒程序。

技术细节

该病毒指向的木马网页为：
http://xxx.***.biz/error.htm

病毒添加的注册表项：
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：KVP
指向文件：%systemroot%\system32\drivers\svchost.exe

项：HKLM\SYSTEM\CurrentControlSet\Services\NPF
键值：ImagePath
指向文件：%systemroot% \system32\drivers\npf.sys


安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理；


　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Backdoor.Win32.ARP.g”，请直接选择删除。


　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启windows自动更新，及时打好漏洞补丁。