网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播
2007-09-21 18:12
387 查看
网友遇到 Trojan.DL.Win32.Agent.yqv,疑是ARP病毒传播
endurer 原创
2007-09-21 第1版
一位网友发来 email 说他现在使用电脑浏览网页时,隔一段时间瑞星就会提示发现病毒:
/---
病毒名称 处理结果 发现日期 路径 文件
Trojan.DL.Script.VBS.Agent.xgp 跳过脚本 2007-09-20 20:39 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp 2072186203104.tmp
Hack.Exploit.Script.JS.Bugexp.a 跳过脚本 2007-09-20 20:39 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp 2072186203104.tmp
---/
接着系统提示下载文件:Thunder.js,下载后用瑞星扫描报为:Trojan.DL.JS.THunder.b,
他把这个文件作为附件发过来了。
Thunder.js 的功能为:运行 IE,把窗口移动到屏幕显示范围之外,打开hxxp://news.1**6*3-s*tv.com/page/image/Downer.html,利用讯雷漏洞,运行下载到 IE 缓存中的 abc[1].exe
hxxp://news.1**6*3-s*tv.com/page/image/Downer.html 内容为:
/---
<script src="page.exe"></script>
---/
文件说明符 : D:/test/page.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-20 23:17:31
修改时间 : 2007-9-20 23:17:42
访问时间 : 2007-9-20 0:0:0
大小 : 10596 字节 10.356 KB
MD5 : c9ce5001e401cc796785810d9a3a91b2
HSA1: 153C5DA7A325A8C50DEC9921B1816001BCB74C2B
瑞星报为 Trojan.DL.Win32.Agent.yqv
把 pe_xscan 传给他 扫描 log 发回来分析,未发现可疑项。
怀疑是与网友电脑处于同一网络的其他电脑中了ARP病毒,该病毒会定期在网页中加入恶意代码。
endurer 原创
2007-09-21 第1版
一位网友发来 email 说他现在使用电脑浏览网页时,隔一段时间瑞星就会提示发现病毒:
/---
病毒名称 处理结果 发现日期 路径 文件
Trojan.DL.Script.VBS.Agent.xgp 跳过脚本 2007-09-20 20:39 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp 2072186203104.tmp
Hack.Exploit.Script.JS.Bugexp.a 跳过脚本 2007-09-20 20:39 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp 2072186203104.tmp
---/
接着系统提示下载文件:Thunder.js,下载后用瑞星扫描报为:Trojan.DL.JS.THunder.b,
Scanned file: Thunder.js - Infected |
Thunder.js - infected by Trojan-Downloader.JS.Agent.pg |
他把这个文件作为附件发过来了。
Thunder.js 的功能为:运行 IE,把窗口移动到屏幕显示范围之外,打开hxxp://news.1**6*3-s*tv.com/page/image/Downer.html,利用讯雷漏洞,运行下载到 IE 缓存中的 abc[1].exe
hxxp://news.1**6*3-s*tv.com/page/image/Downer.html 内容为:
/---
<script src="page.exe"></script>
---/
文件说明符 : D:/test/page.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-20 23:17:31
修改时间 : 2007-9-20 23:17:42
访问时间 : 2007-9-20 0:0:0
大小 : 10596 字节 10.356 KB
MD5 : c9ce5001e401cc796785810d9a3a91b2
HSA1: 153C5DA7A325A8C50DEC9921B1816001BCB74C2B
瑞星报为 Trojan.DL.Win32.Agent.yqv
Scanned file: page.exe - Infected |
page.exe - infected by Trojan-Downloader.Win32.Small.fso |
怀疑是与网友电脑处于同一网络的其他电脑中了ARP病毒,该病毒会定期在网页中加入恶意代码。
相关文章推荐
- 网友遇到scvhsot.exe,SVCH0ST.EXE,wincabb.exe,wmcony.exe等
- 全网友遇到的Mac安装Scrapy框架所有问题
- 在win7下遇到的在线编辑器问题,居然是css的问题,在网友的帮助下已经解决啦!开心~ 啦啦啦啦~
- 参考网友微信打飞机demo实现炸弹图标和数量更新时遇到的问题解决心得
- 近期网友遇到的一些问题,整理出来 大家可以学习 交流 MySQL问题及解答
- ARP病毒添加的网址传播Trojan.Win32.Mnless.zyt等
- ARP病毒加的网址传播Trojan.PSW.Win32.OnlineGames.GEN等
- 回答一位参加工作2年的网友遇到的迷惑
- PS中修改gif图片遇到的问题 - 网友解答
- 那天在CSDN上看到一个网友在华为遇到的面试题是一道乘法题看似简其实并不是因为它们都超出了数据类型的范围,今天做了下加法希望对大家有所启示
- 关于流复制中可能遇到的问题及解决方案(二)传播阶段。
- radio 与 文字 齐平 (开发时遇到这个问题,参考网友给的解决方案解决了问题)
- 当男网友遇到少妇智商降为零(转163)
- ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
- 在网狐荣耀版添加房卡游戏时,经常有网友遇到进房卡房间弹出到大厅登录界面
- ARP病毒加的网址传播Trojan-Downloader.Win32.Delf.bjy
- 在windows下获取硬盘序列号(win7 32位,Windows Server 64位测试,希望在其他平台测试,遇到问题的网友留言分享)
- ARP病毒所加网址传播Worm.Win32.Anilogo,Win32.Logogo.q等