“ARP 木马134756”（Win32.Hack.Bifrose.134756），这是一个ARP 欺骗木马。它会向局域网内的所有电脑发送ARP攻击，造成网络瘫痪。

　　一、“多啦恶梦”（Win32.Troj.Agent.225280） 威胁级别：★★

　　该病毒进入系统后，在系统盘根目录下生成一个“VKidding”文件夹，将自己的病毒文件kid.exe释放到里面，其程序图标为机器猫（多啦A梦）。随后，它修改系统注册表启动项中的有关信息，使自己能够在用户开机时自动跟着运行起来。

　　为防止用户利用Windows任务管理器来查杀自己，病毒会破坏注册表中的相关数据，使Windows任务管理器不能正常使用。完成这个步骤后，病毒就开始发作。在它发作时，系统桌面完全消失，只留下蓝色背景。而鼠标和键盘则始终处于忙碌状态，无法使用，从而造成计算机被锁定。并且，令用户苦笑不得的是，病毒这时会开始播放“机器猫”动画片的音乐。

　　此外，为扩大自己的传染范围，病毒会依次遍历C盘到L盘的磁盘分区，在其根目录下生成隐藏文件autorun.inf和存放副本的隐藏目录VKidding，目录中包括autorun.inf、HOOK.DLL、kid.exe等病毒文件。很明显，病毒是想利用Windows自动播放功能使病毒传染到U盘等移动存储设备上。

　　二、“ARP 木马134756”（Win32.Hack.Bifrose.134756） 威胁级别：★★

　　病毒进入用户电脑系统后，会在系统盘中释放出四个病毒文件。分别为%WINDOWS%\system32\目录下的Packet.dll、WanPacket.dll、wpcap.dll，以及%WINDOWS%\system32\drivers\目录下的npf.sys。

　　其中，Packet.dll、WanPacket.dll 和 wpcap.dll 是WINDOWS系统网络操作的接口，通过它们，病毒可以获取用户电脑的MAC 地址，实现发送和截取网络协议包等功能。而npf.sys 是一个网络中间层驱动，用于对之前生成的Packet.dll、WanPacket.dll、wpcap.dll 等网络操作。当病毒用它们替换掉系统中的同名正常文件后，就可以大肆进行破坏行为了。

　　以上步骤完成后，病毒就开始搜索局域网内的其它电脑，冒充网关向它们发送大量垃圾信息，引起网络阻塞，造成网速变慢甚至掉线，严重影响用户的正常工作，甚至给用户带来商业损失。

工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。