悠嘻猴 2008-7-31 13:13
MSMS蠕虫型木马下载者专杀
[list][*]软件名称:MSMS蠕虫型木马下载者专杀[*]软件类别:专杀工具[*]软件版本:[*]软件大小:181KB[*]应用平台:VISTA/Win2003/WinXP/Win2000/NT/WinME/Win9X/[*]更新时间:2008-07-29 17:54:22[*]授权方式:免费软件[/list]
软件说明
[align=center]
病毒评估[list][*]病毒名称: MSMS蠕虫型木马下载者[*]病毒名称英文:Win32.TrojDL.MSMS.27658[*]病毒类型:蠕虫型木马下载者[*]危险级别:★★★★[*]传播方式:ARP欺骗[*]受影响的系统: Windows 2000, Windows XP, Windows Server 2003,VISTA[*]未受影响的系统:Windows 3.x, Macintosh, Unix, Linux[/list]
病毒危害:此病毒关闭各种常见杀毒软件的实时监控,并产生ARP欺骗,导致局域网ARP风暴。严重时,可导致网络中断,整个局域网整体崩溃。同时,下载至本地硬盘。严重威胁用户帐号密码等机密数据。
传播形式:破坏用户的杀毒软件,关闭大多数的杀毒软件服务程序,导致系统安全完全丧失。在系统文件生成病毒文件%systemroot%\system32\13.pif。 13.pif运行后,调用相关API函数关闭服务beep。将%SystemRoot%\system32\drivers\beep.sys读到内存中,替换系统驱动程序beep.sys为病毒驱动程序。启动服务beep.sys,之后用内存中原有的系统驱动程序副本替换病毒驱动程序,使用户不易察觉。病毒驱动的作用是:恢复SSDT,使杀毒软件的监控失效。修改相关文件的ACL取得对它们的完全控制权限。在每个盘符的根目录下生成病毒文件MSMS.pif 和自动播放设置文件autorun.inf。并将病毒文件拷贝至%systemroot%\system32\目录下,命名为explorer.exe以及wauc11.exe,隐藏属性。修改注册表,实现病毒的开机自启动。使用映像劫持技术将大部分杀毒软件劫持为wauc11.exe。远程注入线程到IE进程内,修改相关注册表键值达到隐藏文件的目的。并下载其他病毒文件至系统根目录下。使用ARP欺骗技术,劫持被感染主机所在网络的网关。嗅探全网所有的web页面,并注入网马地址。只要一台主机感染了病毒,全局域网网将全部感染。
由于arp欺骗,将导致局域网内网速极慢,少数情况下,整个网络完全崩溃。
预防和处理办法:[list][*]1 开启杀毒软件进行全面监控,并且及时更新病毒库。[*]2 及时升级系统漏洞。[*]3 使用ARP防火墙,以防止病毒在局域网内扩散。[/list]下载地址:[url=http://www.sanlen.com/down/sl_down_167.htm][color=#262626]http://www.sanlen.com/down/sl_down_167.htm[/color][/url]
[/align]