| 订阅 | 在线投稿
分享
 
 
 

Win32.PSWTroj.Win32.63011

来源:互联网  宽屏版  评论
2008-08-14 23:06:05

病毒名称(中文):

ARP下载帮凶63011

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马下载器

病毒长度:

63011

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个木马下载者。它会从指定的地址下载大量的木马程序到用户电脑上运行,其中包括可对全局域网发动攻击的ARP木马。

1.病毒运行后,产生以下病毒文件

%TEMP%\1.exe

%TEMP%\2.exe

%TEMP%\3.exe

%TEMP%\4.exe

%TEMP%\5.exe

%TEMP%\6.exe

%TEMP%\7.exe

%TEMP%\oKoK.exe

%TEMP%\M1.ex

%ProgramFiles%\svchost.exe

%ProgramFiles%\InternetExplorer\OnlO0r.dll

%ProgramFiles%\CommonFiles\fjOs0r.dll

%windir%\Fonts\mndoor0.dll

%windir%\system32\qhdoor0.dll

%windir%\system32\qqdoor0.dll

%windir%\system32\qzdoor0.dll

%windir%\system32\fhdoor0.dll

%windir%\system32\6to4ex.dll

2.生成的DLL文件都会被注入到系统活动进程中,实现隐蔽下载

3.另外木马程序还会为exploerer.exe进程创建远线程,以此来隐蔽的下载主要的木马程序

4.下载回%TEMP%\oKoK.exe后会生成%ProgramFiles%\svchost.exe,该文件会对局域网进行ARP欺骗.致使局域网内机器要访问的网页

文件都会被插入代码,该JS的主要功能是从http://w18.vg/ms.gif下载恶意脚本,然后利用

MS06-014漏洞,超星阅读器漏洞从http://w**.vg/*.exe下载木马,因大量的木马程序会被下载到本地执行,从而导致系统反应格外迟钝.

5.木马程序的下载来源为

http://w18.vg/oK.txt(该文件本内容为加密数据,主要存放下载地址列表,解密后为如下内容)

http://2*9.*1.2*2.162/Images/oKoK.exe

http://2*9.*1.2*2.162/Images/M1.exe

http://2*9.*1.2*2.162/Images/8.exe

http://2*9.*1.2*2.162/Images/7.exe

http://2*9.*1.2*2.162/Images/6.exe

http://2*9.*1.2*2.162/Images/5.exe

http://2*9.*1.2*2.162/Images/4.exe

http://2*9.*1.2*2.162/Images/3.exe

http://2*9.*1.2*2.162/Images/2.exe

http://2*9.*1.2*2.162/Images/1.exe

病毒名称(中文): ARP下载帮凶63011 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 63011 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是一个木马下载者。它会从指定的地址下载大量的木马程序到用户电脑上运行,其中包括可对全局域网发动攻击的ARP木马。 1.病毒运行后,产生以下病毒文件 %TEMP%\1.exe %TEMP%\2.exe %TEMP%\3.exe %TEMP%\4.exe %TEMP%\5.exe %TEMP%\6.exe %TEMP%\7.exe %TEMP%\oKoK.exe %TEMP%\M1.ex %ProgramFiles%\svchost.exe %ProgramFiles%\InternetExplorer\OnlO0r.dll %ProgramFiles%\CommonFiles\fjOs0r.dll %windir%\Fonts\mndoor0.dll %windir%\system32\qhdoor0.dll %windir%\system32\qqdoor0.dll %windir%\system32\qzdoor0.dll %windir%\system32\fhdoor0.dll %windir%\system32\6to4ex.dll 2.生成的DLL文件都会被注入到系统活动进程中,实现隐蔽下载 3.另外木马程序还会为exploerer.exe进程创建远线程,以此来隐蔽的下载主要的木马程序 4.下载回%TEMP%\oKoK.exe后会生成%ProgramFiles%\svchost.exe,该文件会对局域网进行ARP欺骗.致使局域网内机器要访问的网页 文件都会被插入代码,该JS的主要功能是从http://w18.vg/ms.gif下载恶意脚本,然后利用 MS06-014漏洞,超星阅读器漏洞从http://w**.vg/*.exe下载木马,因大量的木马程序会被下载到本地执行,从而导致系统反应格外迟钝. 5.木马程序的下载来源为 http://w18.vg/oK.txt(该文件本内容为加密数据,主要存放下载地址列表,解密后为如下内容) http://2*9.*1.2*2.162/Images/oKoK.exe http://2*9.*1.2*2.162/Images/M1.exe http://2*9.*1.2*2.162/Images/8.exe http://2*9.*1.2*2.162/Images/7.exe http://2*9.*1.2*2.162/Images/6.exe http://2*9.*1.2*2.162/Images/5.exe http://2*9.*1.2*2.162/Images/4.exe http://2*9.*1.2*2.162/Images/3.exe http://2*9.*1.2*2.162/Images/2.exe http://2*9.*1.2*2.162/Images/1.exe
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有