Win32.Troj.CmjDown是一個釋放一個DLL檔案到系統臨時目錄,並在後台打開IE程式進行下載指定網站病毒且運行感染計算機的木馬檔案。
基本介紹
- 中文名:Win32.Troj.CmjDown
- 威脅級別:★★
- 病毒類型:木馬
- 影響系統:Win9x / WinNT
- 性質:木馬下載器
病毒特點,病毒行為,
病毒特點
從指定網站下載一個檔案運行。它釋放一個DLL檔案到系統臨時目錄,在後台打開IE瀏覽器,然後將該釋放的DLL檔案載入到IE進程中。病毒以IE瀏覽器的身份訪問網路並從指定網站下載一個檔案運行,以躲過病毒防火牆的盤查。
病毒行為
1.釋放檔案%Temp%\mmdllmm.dll(UPX壓縮,長度為6248位元組,解壓後為10344位元組,病毒名為Win32.Troj.Airsupply)。
2.修改註冊表。
添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Internat"="<病毒原始位置>"
3.在病毒檔案尾部附帶了網頁檔案的地址,它將該地址寫入到釋放的dll檔案中,用來下載並運行。病毒創建進程iexplorer.exe,在WinNT系統下通過創建遠程執行緒的方式,將釋放的mmdllmm.dll注入到進程iexplorer.exe;在Win9x則載入釋放的mmdllmm.dll,並調用其導出的函式_SetHook,然後通過創建訊息鉤子的方式載入到進程iexplorer.exe中。
4.mmdllmm.dll訪問以iexplorer.exe的身份到指定網址上下載檔案並運行,使用戶感染新病毒。