TrojanDownloader.Ject是一個變種類下載木馬,通過IE的兩個漏洞(MS04-013)下載檔案並執行。
基本介紹
- 中文名:TrojanDownloader.Ject
- 病毒類型:木馬
- 病毒長度:變長
- 影響平台:Win9X/2000/XP/NT/Me/2003
病毒行為
傳播過程及特徵:
1.利用Outlook Express MHTML URL處理漏洞從特定網站下載檔案。
C:\Programmer\Windows Media Player\wmplayer.exe
C:\Program\Windows Media Player\wmplayer.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programfiler\Windows Media Player\wmplayer.exe
C:\Programas\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Media Player\wmplayer.exe
3.當wmplayer.exe檔案後,生成下列檔案:
%System%\doriot.exe
%System%\gdqfw.exe
4.修改註冊表:
[HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run]
"wersds" = "%System%\doriot.exe"
[HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run]
"wersds" = "%System%\doriot.exe"
5.將gdqfw.exe作為執行緒嵌入到進程exeplorer.exe中,達到以下目的:
停止服務"haredAccess"
終止一些安全類軟體的自動運行(通過停止相關進程運行實現)
從下列網站下載檔案,並保存為%Windir%_re_file.exe,然後執行此檔案:
allianzsp.sk
coolweb.psg.sk
koti.pl
miracle.v6.cz
