Arp病毒(motou.exe,smss.com,smss.exe)解決方案

smss.com,smss.exe

文件名稱：motou.exe

文件大小：335106 byte

AV命名：

Win32.Hack.ChatARP.y.372212 金山

Dropper.Win32.Agent.yse 瑞星

Backdoor.Win32.Delf.cjx 卡吧

加殼方式：Upack 0.3.9 beta2s

編寫語言：Borland Delphi 6.0 - 7.0

病毒類型：ARP病毒

文件MD5：d74ee3ce5ef64f0d8b51705f1cb31aaf

行爲：

一、 釋放病毒副本：

C:\\WINDOWS\\system32\\daemon_mgm.exe

C:\\WINDOWS\\system32\\ NetMonInstaller.exe

C:\\WINDOWS\\system32\\ npf_mgm.exe

二、 添加啓動項，開機自啓：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

InternetExe = REG_SZ, \"％病毒原路徑％ \\motou.exe\ "

三、 原目錄生成僞系統文件smss.com和smss.exe，進行ARP***。

四、 首先往124.255.255.255發送一個UDP數據包，檢查是否網路通暢。

五、 每隔一段時間執行arp –d命令清空緩存。反IP\\MAC地址綁定防止防護ARP***。

六、 smss.exe負責在169.254.0.2-169.254.255.25網段通過的數據包插一段廣告網站的代碼：

\"{iframe src=hXXp://8v8.biz/ width=0 height=0 frameborder=0}{/iframe}\"

解決方法：

一、 下載SREng，關閉不須要的進程，拔掉網線。

二、 打開SREng刪除病毒啓動項：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

InternetExe}C:\\Documents and Settings\\(用戶)\\桌面 \\motou.exe\ } []

路徑可能不同，不過都是指向這個文件：motou.exe

三、 重啓電腦，升級殺毒軟件，全盤掃描。（用來刪除病毒帶來的嗅探文件）