资深黑客带您全面解剖“木马下载者”(4)

作者: 子明 出处:51CTO.com　2008-03-11 15:55　   砖    好    评论  条 　进入论坛

阅读提示：特洛伊木马(Trojan)病毒，是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件，发送密码，记录键盘和攻击等功能，会使用户系统被破坏甚至瘫痪。恶意的木马程序也具有计算机病毒的特征。

4.Trojan-Downloader.JS.Inor.a分析
病毒名称： Trojan-Downloader.JS.Inor.a
病毒类型： 木马下载
危害等级： 中
文件长度： 1,524 字节
感染系统： windows 98及以上版本
开发工具： Html + Javascript

病毒描述：
该病毒属木马下载类，是由Javascript脚本语言编写的一段经过加密的脚本，包含在一个HTML文件中，当用户访问这个网页时，就会自动运行这个脚本文件，这段经过加密的代码就会运行。病毒运行后会尝试连接地址：http://****/x/tbd_web.php?wm=2013（该地址已失效），并提示用户安装一个安全证书已经过期的软件，修改注册表文件。运行后，该病毒可能存于Temporary Internet目录中。

行为分析：
（1）连接到: http://****/x/tbd_web.php?wm=2013
（2）修改如下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\ProgID\@
键值: 字串: "DownCom.CDownCom.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\InprocServer32\@
键值: 字串: "C:\WINNT\DOWNLO~1\ipreg32.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4A31E565-08CB-4272-8817-7BF729B6A96F}\1.0\0\win32\@
键值: 字串: "C:\WINNT\Downloaded Program Files\ipreg32.dll"

清除方案：
（1） 终止相关的进程。
（2） 删除病毒所对应的文件。
（3） 清除IE的文件缓存

共7页: 上一页 [1] [2] [3] 4 [5] [6] [7] 下一页

【内容导航】  第 1 页：什么是Trojan-Downloader木马？  第 2 页：Trojan-Downloader木马分析（1）  第 3 页：Trojan-Downloader木马分析（2）  第 4 页：Trojan-Downloader木马分析（3）  第 5 页：Trojan-Downloader木马分析（4）  第 6 页：如何防范Trojan-Download类木马病毒  第 7 页：当今病毒技术的发展