病毒评估
病毒名称: MSMS蠕虫型木马下载者 病毒名称英文:Win32.TrojDL.MSMS.27658 病毒类型:蠕虫型木马下载者 危险级别:★★★★ 传播方式:ARP欺骗 受影响的系统: Windows 2000, Windows XP, Windows Server 2003,VISTA 未受影响的系统:Windows 3.x, Macintosh, Unix, Linux 病毒危害:
此病毒关闭各种常见杀毒软件的实时监控,并产生ARP欺骗,导致局域网ARP风暴。严重时,可导致网络中断,整个局域网整体崩溃。同时,下载至本地硬盘。严重威胁用户帐号密码等机密数据。
传播形式:
破坏用户的杀毒软件,关闭大多数的杀毒软件服务程序,导致系统安全完全丧失。在系统文件生成病毒文件%systemroot%\system32\13.pif。 13.pif运行后,调用相关API函数关闭服务beep。将%SystemRoot%\system32\drivers\beep.sys读到内存中,替换系统驱动程序beep.sys为病毒驱动程序。启动服务beep.sys,之后用内存中原有的系统驱动程序副本替换病毒驱动程序,使用户不易察觉。病毒驱动的作用是:恢复SSDT,使杀毒软件的监控失效。修改相关文件的ACL取得对它们的完全控制权限。在每个盘符的根目录下生成病毒文件MSMS.pif 和自动播放设置文件autorun.inf。并将病毒文件拷贝至%systemroot%\system32\目录下,命名为explorer.exe以及wauc11.exe,隐藏属性。修改注册表,实现病毒的开机自启动。使用映像劫持技术将大部分杀毒软件劫持为wauc11.exe。远程注入线程到IE进程内,修改相关注册表键值达到隐藏文件的目的。并下载其他病毒文件至系统根目录下。使用ARP欺骗技术,劫持被感染主机所在网络的网关。嗅探全网所有的web页面,并注入网马地址。只要一台主机感染了病毒,全局域网网将全部感染。
由于arp欺骗,将导致局域网内网速极慢,少数情况下,整个网络完全崩溃。
预防和处理办法:
1 开启杀毒软件进行全面监控,并且及时更新病毒库。 2 及时升级系统漏洞。 3 使用ARP防火墙,以防止病毒在局域网内扩散。
