Win32.Troj.CmjDown

病毒别名：
处理时间：
威胁级别：★★
中文名称：
病毒类型：木马
影响系统：Win9x / WinNT

这是一个木马下载器，从指定网站下载一个文件运行。它释放一个DLL文件到系统临时目录，在后台打开IE浏览器，然后将该释放的DLL文件加载到IE进程中。病毒以IE浏览器的身份访问网络并从指定网站下载一个文件运行，以躲过病毒防火墙的盘查。


1.释放文件%Temp%mmdllmm.dll（UPX压缩，长度为6248字节，解压后为10344字节，病毒名为Win32.Troj.Airsupply）。

2.修改注册表。
添加启动项：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"Internat"="<病毒原始位置>"

3.在病毒文件尾部附带了网页文件的地址，它将该地址写入到释放的dll文件中，用来下载并运行。病毒创建进程iexplorer.exe，在WinNT系统下通过创建远程线程的方式，将释放的mmdllmm.dll注入到进程iexplorer.exe；在Win9x则加载释放的mmdllmm.dll，并调用其导出的函数_SetHook，然后通过创建消息钩子的方式加载到进程iexplorer.exe中。

4.mmdllmm.dll访问以iexplorer.exe的身份到指定网址上下载文件并运行，使用户感染新病毒。