关闭

网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播

1795人阅读 评论(0) 收藏 举报

网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播

endurer 原创
2007-09-21 第1

一位网友发来 email 说他现在使用电脑浏览网页时,隔一段时间瑞星就会提示发现病毒:
/---
病毒名称                        处理结果    发现日期    路径   文件
Trojan.DL.Script.VBS.Agent.xgp  跳过脚本    2007-09-20 20:39  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp   2072186203104.tmp
Hack.Exploit.Script.JS.Bugexp.a 跳过脚本    2007-09-20 20:39  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp   2072186203104.tmp
---/


接着系统提示下载文件:Thunder.js,下载后用瑞星扫描报为:Trojan.DL.JS.THunder.b

Scanned file:   Thunder.js - Infected

Thunder.js - infected by Trojan-Downloader.JS.Agent.pg
 

他把这个文件作为附件发过来了。

Thunder.js 的功能为:运行 IE,把窗口移动到屏幕显示范围之外,打开hxxp://news.1**6*3-s*tv.com/page/image/Downer.html,利用讯雷漏洞,运行下载到 IE 缓存中的 abc[1].exe

hxxp://news.1**6*3-s*tv.com/page/image/Downer.html 内容为:
/---
<script src="page.exe"></script>
---/


文件说明符 : D:/test/page.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-20 23:17:31
修改时间 : 2007-9-20 23:17:42
访问时间 : 2007-9-20 0:0:0
大小 : 10596 字节 10.356 KB
MD5 : c9ce5001e401cc796785810d9a3a91b2
HSA1: 153C5DA7A325A8C50DEC9921B1816001BCB74C2B

瑞星报为 Trojan.DL.Win32.Agent.yqv

Scanned file:   page.exe - Infected

page.exe - infected by Trojan-Downloader.Win32.Small.fso

把 pe_xscan 传给他 扫描 log 发回来分析,未发现可疑项。

怀疑是与网友电脑处于同一网络的其他电脑中了ARP病毒,该病毒会定期在网页中加入恶意代码。 

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:2413537次
    • 积分:38675
    • 等级:
    • 排名:第107名
    • 原创:981篇
    • 转载:40篇
    • 译文:108篇
    • 评论:1560条
    文章存档
    最新评论