磁碟机变种利用IE下载ARP欺骗病毒

"磁碟机变种204808"（Win32.VcingT.ph.204808），这是一个感染型病毒。该病毒运行后，会在各盘产生autorun病毒，并感染所以符合条件的exe文件，造成部分文件损坏。它还会从网络下载更多的病毒，其中含有arp欺骗病毒，会对局域网产生极大影响。毒霸目前已可修复被感染exe文件。

"木马下载器69632"（Win32.PSWTroj.OnLineGames.69632），这是一个下载者木马。它在后台运行IE浏览器和记事本，并在其中创建线程，连接黑客网站下载其他木马病毒。它还会感染特定的文件，并且在每个盘符下创建Auto病毒文件，导致用户双击磁盘时就会运行木马文件。

一、"磁碟机变种204808"（Win32.VcingT.ph.204808） 威胁级别：★★

病毒进入用户的电脑系统后，会在系统盘中释放出7个病毒文件，分别为%WINDOWS%system32Com目录下的lsass.exe、smss.exe、netcfg.dll、netcfg.000，c:WINDOWSsystem32目录下的dnsq.dll，c:WINDOWSsystem32drivers目录下的alg.exe，以及系统盘根目录下的037589.log。此外，病毒还会在所有磁盘分区中，生成AUTO病毒autorun.inf和相应的pagefile.pif病毒文件，只要用户用鼠标左键双击含毒磁盘分区，病毒就会再次被激活。如果用户在中毒电脑上使用U盘等移动存储器，病毒也会立即将其传染，借以扩大自己的传播范围。

随后，病毒篡改系统相关数据，将自己添加到系统盘"%Documents and Settings%All Users「开始」菜单程序启动~.exe.xxxxxx"路径下，进行自启动(xxxxxx为随机数字)。然后，它迅速破坏电脑中已安装的安全软件的运行，几乎所有著名厂商的产品都在该病毒的"黑名单"中。

病毒运行后，大量感染所有非系统盘分区下的exe文件，连rar、zip压缩包内的exe文件也不放过。同时它还感染htm、html等格式的网页文件，添加挂马代码。如果电脑已连接网络，病毒就会先访问http://w.XXX.com/r.htm这个由黑客指定的地址，获取一个病毒文件列表，然后利用IE浏览器悄悄下载上述列表中的的病毒。被下载的病毒毒中，有盗号木马、ARP欺骗病毒等，它们会给用户的系统安全、个人隐私、虚拟财产造成无法估计的更大破坏。并且，其中的ARP病毒会立即展开对局域网内其它电脑的攻击，造成局域网瘫痪。

被该病毒感染的文件体积会有所增大，并且只要启动这些文件，病毒就会被激活发作，同时造成部分受感染文件的损坏。不过使用毒霸就可修复绝大多数被感染的文件。

二、"木马下载器69632"（Win32.PSWTroj.OnLineGames.69632） 威胁级别：★★

病毒顺利潜入用户的电脑系统后，在%WINDOWS%system32目录下释放出病毒文件sysload2.exe，随后就修改注册表，将自己加入启动项，实现随系统启动而自动运行之目的。

当成功运行起来，病毒就在后台悄悄运行IE浏览器和记事本进程，并利用其创建远程线程，从黑客指定的地址"http://a.2*0*ip.com/c*s.css"下载一份病毒列表。然后，根据列表中的地址去下载其它木马病毒到本机上运行，给用户的系统和虚拟财产安全，甚至个人隐私带来无法估计的威胁。

同时，病毒会搜索系统盘，感染QQ聊天软件、PP点点通、迅雷下载器、BitComet下载器、realplay播放器，以及网络游戏《征途》、《梦幻西游》、《惊天动地》等程序的可执行文件，并在全部磁盘分区的根目录下创建AUTO病毒文件AutoRun.inf和Tool.exe，当用户启动受感染文件、双击含毒磁盘分区，或者在中毒电脑上使用U盘等移动存储器时，病毒就会立即被再次激活。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

未经允许不得转载：DOIT » 磁碟机变种利用IE下载ARP欺骗病毒