Backdoor.Win32.ARP.b

新客网 XKER.COM 2007-10-30 收藏本文

病毒名称
Backdoor.Win32.ARP.b
捕获时间
2007-10-17
病毒症状
　　该病毒是一个使用delphi编写的后门程序，长度为188,416字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为网页挂马，文件捆绑，黑客攻击。
病毒分析
　　该后门程序激活后，在%systemroot%\system32下生成用于ARP欺骗作用的PACKER.DLL,WANPACKET.DLL和WPCAP.DLL 文件；在%systemroot%\system32\drivers下生成svchost.exe，scvhost.exe和npf.sys文件；添加注册表启动项到HKLM下的RUN中指向svchost.exe文件，以达到病毒随系统自动启动的目的；通过SCM注册npf.sys为驱动实现数据包封装；
　　通过命令行启动scvhost.exe，向特定网段发送ARP欺骗数据包，通过抓包封包的手段强行劫持局域网中HTTP会话，将木马脚本强行插入HTTP数据流，使得局域网中其它主机在浏览网页时会被种植木马。

病毒添加的注册表项：
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：qhbsdtr
指向文件：%systemroot%\system32\drivers\svchost.exe
项：HKLM\SYSTEM\CurrentControlSet\Services\NPF
键值：ImagePath
指向文件：%systemroot% \system32\drivers\npf.sys
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马，文件捆绑，HTTP会话劫持

• ·Trojan-PSW.Win32.Delf.ftp
• ·网游窃贼变种iho
• ·Trojan-Downloader.Win32.Agent.kzh
• ·怒花变种c
• ·Backdoor/SdBot.frk
• ·尼拉葛变种qu
• ·TrojanSpy.USBSpy.a
• ·小不点变种tmn