网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播

原创 2007年09月21日 18:12:00

网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播

endurer 原创
2007-09-21 第1

一位网友发来 email 说他现在使用电脑浏览网页时,隔一段时间瑞星就会提示发现病毒:
/---
病毒名称                        处理结果    发现日期    路径   文件
Trojan.DL.Script.VBS.Agent.xgp  跳过脚本    2007-09-20 20:39  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp   2072186203104.tmp
Hack.Exploit.Script.JS.Bugexp.a 跳过脚本    2007-09-20 20:39  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp   2072186203104.tmp
---/


接着系统提示下载文件:Thunder.js,下载后用瑞星扫描报为:Trojan.DL.JS.THunder.b

Scanned file:   Thunder.js - Infected

Thunder.js - infected by Trojan-Downloader.JS.Agent.pg
 

他把这个文件作为附件发过来了。

Thunder.js 的功能为:运行 IE,把窗口移动到屏幕显示范围之外,打开hxxp://news.1**6*3-s*tv.com/page/image/Downer.html,利用讯雷漏洞,运行下载到 IE 缓存中的 abc[1].exe

hxxp://news.1**6*3-s*tv.com/page/image/Downer.html 内容为:
/---
<script src="page.exe"></script>
---/


文件说明符 : D:/test/page.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-20 23:17:31
修改时间 : 2007-9-20 23:17:42
访问时间 : 2007-9-20 0:0:0
大小 : 10596 字节 10.356 KB
MD5 : c9ce5001e401cc796785810d9a3a91b2
HSA1: 153C5DA7A325A8C50DEC9921B1816001BCB74C2B

瑞星报为 Trojan.DL.Win32.Agent.yqv

Scanned file:   page.exe - Infected

page.exe - infected by Trojan-Downloader.Win32.Small.fso

把 pe_xscan 传给他 扫描 log 发回来分析,未发现可疑项。

怀疑是与网友电脑处于同一网络的其他电脑中了ARP病毒,该病毒会定期在网页中加入恶意代码。 

Trojan/Win32.TDSS.eyj[Rootkit]分析

病毒标签: 病毒名称: Trojan/Win32.TDSS.eyj[Rootkit] 病毒类型: 后门 文件 MD5: 45433E3C1489F1F64798BC82BFA21864 公开范...
  • zacklin
  • zacklin
  • 2012年07月24日 11:27
  • 743

Trojan.Win32.Scar.cjdy分析

前记:         这是很早之前分析的一个windows上的病毒程序,程序很有代表性,我当时分析的也很细致。最近在整理文档时发现了它,感觉还是有分享的价值的。 一、病毒标签: 病毒名称:Tro...

Trojan:Win32/EyeStye.N

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FEyeSty...

编写Win32病毒的几个关键

PE病毒是指所有感染Windows下PE文件格式文件的病毒. PE病毒大多数采用Win32汇编编写. PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的. 只有在PE病毒中,我们才能真正感受到高超的...

Win32.Rootkit.Lapka.Wozw 木马病毒分析

By: DeathMemory QQ: 123951548 Win32.Rootkit.Lapka.Wozw 木马病毒分析 前言病毒执行流程 整体流程监控服务 代码还原 Base64 ...

PE文件加节感染之Win32.Loader.bx.V病毒分析

一、病毒名称:Win32.Loader.bx.V 二、分析工具:IDA 5.5、OllyDebug、StudPE 三、PE病毒简介: PE病毒感染的方式比较多,也比较复杂也比较难分析,下面就针对PE文...

virus.win32.parite.H病毒的查杀方法

转载地址:http://blog.csdn.net/wuxiaokaixinguo/article/details/12126391

Win32.Induc 系列病毒,Delphi程序员的梦魇!

====================================================== 注:本文源代码点此下载 =============================...

营销者必读:哪些情绪导致图片病毒传播?

强迫症新消息头像火爆微信,卖萌耍宝图像疯狂转发……是什么让一个图像像病毒一样被传播?是哪些情绪激发了阅读和分享?不同年龄和性别的人们愿意分享的原因有差别吗?最近,全球领先的多渠道智能化营销服务商web...

手机病毒传播成产业链 短信私密信息成猎物

iSmart-艾思 www.smartmobi.com.cn 来源:新闻晚报 17676款,这个触目惊心的数字,仅仅是上半年查获的手机恶意病毒的一部分。有报告显示,中国大陆地区以25.7%的感...
  • jackf
  • jackf
  • 2012年08月07日 08:28
  • 2048
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播
举报原因:
原因补充:

(最多只允许输入30个字)