文件名称：motou.exe

文件大小：335106 byte

AV命名：

Win32.Hack.ChatARP.y.372212 金山
Dropper.Win32.Agent.yse 瑞星
Backdoor.Win32.Delf.cjx 卡吧

加壳方式：Upack 0.3.9 beta2s

编写语言：Borland Delphi 6.0 - 7.0

病毒类型：ARP病毒

文件MD5：d74ee3ce5ef64f0d8b51705f1cb31aaf

行为：

1、 释放病毒副本：

C:\WINDOWS\system32\daemon_mgm.exe
C:\WINDOWS\system32\ NetMonInstaller.exe
C:\WINDOWS\system32\ npf_mgm.exe

2、 添加启动项，开机自启：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
InternetExe = REG_SZ, "％病毒原路径％\motou.exe"

3、 原目录生成伪系统文件smss.com和smss.exe，进行ARP攻击。

4、 首先往124.255.255.255发送一个UDP数据包，检查是否网路通畅。

5、 每隔一段时间执行arp –d命令清空缓存。反IP\MAC地址绑定防止防御ARP攻击。

6、 smss.exe负责在169.254.0.2-169.254.255.25网段经过的数据包插一段广告网站的代码：

"{iframe src=hXXp://8v8.biz/ width=0 height=0 frameborder=0}{/iframe}"

解决方法：

1、 下载SREng(可到down.45it.com下载)，关闭不需要的进程，拔掉网线。

2、 打开SREng删除病毒启动项：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{InternetExe}{C:\Documents and Settings\孤独更可靠\桌面\motou.exe}  []

路径可能不一样，不过都是指向这个文件：motou.exe

3、 重启电脑，升级杀毒软件，全盘扫描。（用来删除病毒带来的嗅探文件）