"ARP欺骗196608"把病毒HTML代码嵌入数据包

　　"ARP欺骗196608"(Win32.Hack.Delf.196608)这是一个ARP病毒。只要中了该病毒，在局域网内的机器打开浏览器浏览网页时，毒霸会一直报病毒。该病毒利用传送数据包时嵌入带病毒的HTML代码，访问恶意网址下载恶意病毒。

　　"魔域盗号者53248"(Win32.Troj.OnlineGames.ds.53248)这是一个木马程序。病毒运行后分别在两个文件夹下生成病毒文件，并写注册表增加启动项以达到病毒开机自启动。病毒会安装信息钩子。修改注册表禁用系统自动更新功能。病毒会盗取网络游戏《魔域》的账号信息并发送到木马种植者指定的接收地址。

　　一、"ARP欺骗196608"(Win32.Hack.Delf.196608) 威胁级别：★★

　　1.病毒运行后，会生成以下病毒文件

　　%Systemroot%system32\Packet.dll %Systemroot%system32\wpcap.dll %Systemroot%system32\WanPacket.dll %Systemroot%system32\Drivers\npf.sys

　　2.病毒会添加启动项(启动项是指随着系统的启动而运行)

　　启动项名：KVP 对应路径：%WINDOWS%\system32\drivers\svchost.exe

　　3.HTML代码为(通过在网页添加iframe代码，访问所指向的网址，从该网下载恶意软件)：

　　二、"魔域盗号者53248"(Win32.Troj.OnlineGames.ds.53248) 威胁级别：★

　　1.病毒运行后，生成以下病毒文件

　　%windir%\DiskMan32.exe %windir%\system32\DiskMan32.dll

　　2.病毒会添加启动项(启动项是指随着系统启动而运行的项)

　　启动项名：DiskMan32 对应路径：%windir%\DiskMan32.exe

　　3.病毒运行后，会使系统的自动更新失效，导致用户系统不能打全补丁以及获得最新的系统信息。

　　4.病毒会创建线程监视"卡巴"和"瑞星"的警告窗口，当监测到有警告窗口则关闭。

　　5.病毒会通过读取内存的方式盗走用户的"魔域"账号信息。

　　6.病毒指定的接收地址：

　　hxxp://www.xianyu***.com/my***/shou.asp?a=**&s=**&u=**&p=**&i=**&c=**

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报，这样才能真正保障计算机的安全。

　　2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。