分享

欢迎您访问本站首页笑话数码汽车珠宝手机购车首饰美妆装修厨房科普编程导购空间导购百科知道词典繁体王朝搜索

当前位置: 王朝网络 >> 王朝百科 >> Trojan-Downloader.JS.Small.cv

Trojan-Downloader.JS.Small.cv

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Trojan-Downloader.JS.Small.cv

病毒类型：木马

文件 MD5： A28F7B9EF37AE4A43EBE5F7C2078E200

公开范围：完全公开

危害等级：中

文件长度： 9,022 字节

感染系统： windows98以上版本

开发工具： Java Script

加壳类型：无

命名对照： Symentec[无]

Mcafee[无]

病毒描述：

该病毒属木马类，是htm文件，病毒运行后连接网络，登陆病毒指定网站，下载病毒文件到%system%下，并自动运行，修改注册表，添加下载的病毒为启动项，以达到随机启动的目的，把病毒体注入到进程iexplore.exe中，随iexplore.exe启动。病毒运行后，打开iexplore.exe，连接病毒指定网站，这时，为帮助保护用户的安全，Internet Explorer自动限制此文件访问用户的计算机的活动内容，该文件的脚本和ActiveX控件就不会危害到用户的计算机。

行为分析：

1、病毒运行后，连接网络，登陆病毒指定网站下载病毒文件：

IP：220.162.244.37:80

域名：http://count22.51yes.com/click.aspx

病毒路径名

%system32%.exe

%system32%ccg0.dll

%system32%wdfmgr32.exe

病毒名

Trojan-Dropper.Win32.Agent.aul

Trojan-Spy.Win32.Delf.tc

Trojan-Downloader.Win32.VB.akv

2、修改注册表，添加下载的病毒为启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run

键值: 字串: "wdfmgr32"="C:WINDOWSsystem32wdfmgr32.exe"

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

InformationBar

键值: 字串: "FirstTime "="DWORD: 0 (0) "

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerFileExts.htmOpenWithList

键值: 字串: "a"="iexplore.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerFileExts.htmOpenWithList

键值: 字串: "b"="NOTEPAD.EXE"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerFileExts.htmOpenWithList

键值: 字串: "MRUList "="ba"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExtStats{BD96C556-65A3-11D0-983A-00C04FC29E36}iexplore

键值: 字串: "Count "="DWORD: 1 (0x1) "

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExtStats{BD96C556-65A3-11D0-983A-00C04FC29E36}iexplore

键值: 字串: "Type "="DWORD: 1 (0x1) "

HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoam

MUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp

键值: 字串: "g0ld.com "="g0ld"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoam

MUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp

键值: 字串: "uprar.exe "="Windows Calculator"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-

46B1-81 B5-2B61DF8077CE}InPrOcservEr32

键值: 字串: "@"="C:WINDOWSsystem32CCG0.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-

46B1-81B5-2B61DF8077CE}

键值: 字串: "@"="WINDowLaNman"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-

46B1-81B5-2B61DF8077CE}InPrOcservEr32

键值: 字串: "THrEaDingMOdel "="ApArTmEnt"

3、连接病毒指定网站，这时，为帮助保护用户的安全，Internet Explorer自动限制此文件访问用户的计算机的活动内容，该文件的脚本和ActiveX控件就不会危害到用户的计算机。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%system32%.exeTrojan-Dropper.Win32.Agent.aul

%system32%ccg0.dllTrojan-Spy.Win32.Delf.tc

%system32%wdfmgr32.exeTrojan-Downloader.Win32.VB.akv

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

键值: 字串: "wdfmgr32"="C:WINDOWSsystem32wdfmgr32.exe"

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

InformationBar

键值: 字串: "FirstTime "="DWORD: 0 (0) "

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerFileExts.htmOpenWithList

键值: 字串: "a"="iexplore.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerFileExts.htmOpenWithList

键值: 字串: "b"="NOTEPAD.EXE"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerFileExts.htmOpenWithList

键值: 字串: "MRUList "="ba"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExtStats{BD96C556-65A3-11D0-983A-00C

04FC29E36}iexplore

键值: 字串: "Count "="DWORD: 1 (0x1) "

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExtStats{BD96C556-65A3-11D0-983A-00C

04FC29E36}iexplore

键值: 字串: "Type "="DWORD: 1 (0x1) "

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp

键值: 字串: "g0ld.com "="g0ld"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp

键值: 字串: "uprar.exe "="Windows Calculator"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}InPrOcservEr32

键值: 字串: "@"="C:WINDOWSsystem32CCG0.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}

键值: 字串: "@"="WINDowLaNman"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}InPrOcservEr32

键值: 字串: "THrEaDingMOdel "="ApArTmEnt"

点击展开全文

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

如何用java替换看不见的字符比如零宽空格十六进制U+200B
干货 2023-09-10

网页字号不能单数吗，网页字体大小为什么一般都是偶数
干货 2023-09-06

java.lang.ArrayIndexOutOfBoundsException: 4096
干货 2023-09-06

Noto Sans CJK SC字体下载地址
干货 2023-08-30

window.navigator和navigator的区别是什么？
干货 2023-08-23

js获取referer、useragent、浏览器语言
干货 2023-08-23

oscache遇到404时会不会缓存？
干货 2023-08-23

linux下用rm -rf *删除大量文件太慢怎么解决？
干货 2023-08-08

刀郎新歌破世界纪录！
娱乐 2023-08-01

js实现放大缩小页面
干货 2023-07-31

生成式人工智能服务管理暂行办法
百态 2023-07-31

英语学习：过去完成时The Past Perfect Tense举例说明
干货 2023-07-31

Mysql常用sql命令语句整理
干货 2023-07-30

科学家复活了46000年前的虫子
探索 2023-07-29

英语学习：过去进行时The Past Continuous Tense举例说明
干货 2023-07-28

meta name="applicable-device"告知页面适合哪种终端设备：PC端、移动端还是自适应
干货 2023-07-28

只用css如何实现打字机特效？
百态 2023-07-15

css怎么实现上下滚动
干货 2023-06-28

canvas怎么画一个三角形？
干货 2023-06-28

canvas怎么画一个椭圆形？
干货 2023-06-28

canvas怎么画一个圆形？
干货 2023-06-28

canvas怎么画一个正方形？
干货 2023-06-28

中国河南省郑州市金水区蜘蛛爬虫ip大全
干货 2023-06-22

javascript简易动态时间代码
干货 2023-06-20

感谢员工的付出和激励的话怎么说？
干货 2023-06-18

>>返回首页<<

关注内容

静静地坐在废墟上，四周的荒凉一望无际，忽然觉得，凄凉也很美

© 2005- 王朝网络版权所有