本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.程序运行后，生成文件 C:WINDOWSCache C:WINDOWSCacheArpmm.exe C:WINDOWSsystem32packet.dll C:WINDOWSsystem32wanpacket.dll

行为分析：
这是一个ARP病毒程序。该病毒运行时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。在这个过程中，用户网速将受到很大的影响，甚至完全断线。

描述：
1.程序运行后，生成文件

C:WINDOWSCache

C:WINDOWSCacheArpmm.exe

C:WINDOWSsystem32packet.dll

C:WINDOWSsystem32wanpacket.dll

C:WINDOWSsystem32wpcap.dll

C:WINDOWSsystem32drivers
pf.sys



2.删除病毒自身文件



3.在注册表中添加了注册项，如下：



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ArpInsert "C:WINDOWSCacheArpmm.exe" 设置为自启动



HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
pf ImagePath system32drivers
pf.sys 注册为服务，可以自启动







4.该病毒运行时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。



其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。