悠嘻猴 - 2008-9-18 16:03:00
软件名称:MSMS蠕虫型木马下载者专杀
软件类别:专杀工具
软件版本:
软件大小:181KB
应用平台:VISTA/Win2003/WinXP/Win2000/NT/WinME/Win9X/
更新时间:2008-09-04 11:53:20
授权方式:免费软件
软件说明
病毒评估
病毒名称: MSMS蠕虫型木马下载者
病毒名称英文:Win32.TrojDL.MSMS.27658
病毒类型:蠕虫型木马下载者
危险级别:★★★★
传播方式:ARP欺骗
受影响的系统: Windows 2000, Windows XP, Windows Server 2003,VISTA
未受影响的系统:Windows 3.x, Macintosh, Unix, Linux
病毒危害:
此病毒关闭各种常见杀毒软件的实时监控,并产生ARP欺骗,导致局域网ARP风暴。严重时,可导致网络中断,整个局域网整体崩溃。同时,下载至本地硬盘。严重威胁用户帐号密码等机密数据。
传播形式:
破坏用户的杀毒软件,关闭大多数的杀毒软件服务程序,导致系统安全完全丧失。在系统文件生成病毒文件%systemroot%\system32\13.pif。 13.pif运行后,调用相关API函数关闭服务beep。将%SystemRoot%\system32\drivers\beep.sys读到内存中,替换系统驱动程序beep.sys为病毒驱动程序。启动服务beep.sys,之后用内存中原有的系统驱动程序副本替换病毒驱动程序,使用户不易察觉。病毒驱动的作用是:恢复SSDT,使杀毒软件的监控失效。修改相关文件的ACL取得对它们的完全控制权限。在每个盘符的根目录下生成病毒文件MSMS.pif 和自动播放设置文件autorun.inf。并将病毒文件拷贝至%systemroot%\system32\目录下,命名为explorer.exe以及wauc11.exe,隐藏属性。修改注册表,实现病毒的开机自启动。使用映像劫持技术将大部分杀毒软件劫持为wauc11.exe。远程注入线程到IE进程内,修改相关注册表键值达到隐藏文件的目的。并下载其他病毒文件至系统根目录下。使用ARP欺骗技术,劫持被感染主机所在网络的网关。嗅探全网所有的web页面,并注入网马地址。只要一台主机感染了病毒,全局域网网将全部感染。
由于arp欺骗,将导致局域网内网速极慢,少数情况下,整个网络完全崩溃。
预防和处理办法:
1 开启杀毒软件进行全面监控,并且及时更新病毒库。
2 及时升级系统漏洞。
3 使用ARP防火墙,以防止病毒在局域网内扩散。
原文地址:http://www.sanlen.com/down/sl_down_167.htm