12月3日,金山毒霸全球反病毒监测中心发布周(12.03-12.09)病毒预警,本周内广大用户需高度警惕、“ARP下载者102400”(Win32.Troj.Downloader.yl.102400)。该病毒进入系统后,会释放出5个病毒文件,同时还在所有的磁盘根目录下生成自己的副本。
金山毒霸反病毒专家戴光剑表示,病毒还会将自己拷贝到%WINDOWS%\s
ystem32\Com\目录下,更名为LSASS.EXE,并释放并运行病毒文件SMSS.EXE和ALG.EXE,由于病毒的进程名和系统的LSASS、SMSS进程名相同,任务管理器将无法结束它。该病毒会修改注册表,禁用显示隐藏文件选项,使隐藏文件无法被显示,并破坏系统安全模式的相关数据,使用户无法启动安全模式。
据了解,最后该病毒悄悄建立远程连接,从http://w.c**o.com/*.htm和http://j*.k***2.com/g*.asp这两个黑客指定的地址下载恶意脚本执行。此外,之前生成的alg.exe是个ARP病毒,它会利用WinPcap来收发网络包,对整个局域网内的所有IP进行攻击,给网络中的所有用户造成影响。
(杨广)
(编辑:健健)
专题