网友遇到 Trojan.DL.Win32.Agent.yqv，疑是ARP病毒传播

最新推荐文章于 2020-12-11 00:29:17 发布

最新推荐文章于 2020-12-11 00:29:17 发布 · 191 阅读

一位网友遇到疑似ARP病毒传播的Trojan.DL.Win32.Agent.yqv病毒，该病毒通过网页注入恶意代码并利用软件漏洞下载恶意程序。

网友遇到 Trojan.DL.Win32.Agent.yqv，疑是ARP病毒传播

endurer 原创
2007-09-21 第1版

一位网友发来 email 说他现在使用电脑浏览网页时，隔一段时间瑞星就会提示发现病毒：
/---
病毒名称处理结果发现日期路径文件
Trojan.DL.Script.VBS.Agent.xgp 跳过脚本 2007-09-20 20:39 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp 2072186203104.tmp
Hack.Exploit.Script.JS.Bugexp.a 跳过脚本 2007-09-20 20:39 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp 2072186203104.tmp
---/

接着系统提示下载文件：Thunder.js，下载后用瑞星扫描报为：Trojan.DL.JS.THunder.b，

Scanned file: Thunder.js - Infected

Thunder.js - infected by Trojan-Downloader.JS.Agent.pg

他把这个文件作为附件发过来了。

Thunder.js 的功能为：运行 IE，把窗口移动到屏幕显示范围之外，打开hxxp://news.1**6*3-s*tv.com/page/image/Downer.html，利用讯雷漏洞，运行下载到 IE 缓存中的 abc[1].exe

hxxp://news.1**6*3-s*tv.com/page/image/Downer.html 内容为：
/---
＜script src="page.exe"＞＜/script＞
---/

文件说明符 : D:/test/page.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-20 23:17:31
修改时间 : 2007-9-20 23:17:42
访问时间 : 2007-9-20 0:0:0
大小 : 10596 字节 10.356 KB
MD5 : c9ce5001e401cc796785810d9a3a91b2
HSA1: 153C5DA7A325A8C50DEC9921B1816001BCB74C2B

瑞星报为 Trojan.DL.Win32.Agent.yqv

Scanned file: page.exe - Infected

page.exe - infected by Trojan-Downloader.Win32.Small.fso

把 pe_xscan 传给他扫描 log 发回来分析，未发现可疑项。

怀疑是与网友电脑处于同一网络的其他电脑中了ARP病毒，该病毒会定期在网页中加入恶意代码。