Win32.Troj.CmjDown是影响Win9x / WinNT系统的病毒,是一个会从指定网站下载一个文件运行的木马下载器。
武器性能
概述
病毒别名:
处理时间:
威胁级别:★★
中文名称:
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为:
这是一个木马下载器,从指定网站下载一个文件运行。它释放一个DLL文件到系统临时目录,在后台打开IE浏览器,然后将该释放的DLL文件加载到IE进程中。病毒以IE浏览器的身份访问网络并从指定网站下载一个文件运行,以躲过病毒防火墙的盘查。
1.释放文件%Temp%mmdllmm.dll(UPX压缩,长度为6248字节,解压后为10344字节,病毒名为Win32.Troj.Airsupply)。
2.修改注册表。
添加启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"Internat"="<病毒原始位置>"
3.在病毒文件尾部附带了网页文件的地址,它将该地址写入到释放的dll文件中,用来下载并运行。病毒创建进程iexplorer.exe,在WinNT系统下通过创建远程线程的方式,将释放的mmdllmm.dll注入到进程iexplorer.exe;在Win9x则加载释放的mmdllmm.dll,并调用其导出的函数_SetHook,然后通过创建消息钩子的方式加载到进程iexplorer.exe中。
4.mmdllmm.dll访问以iexplorer.exe的身份到指定网址上下载文件并运行,使用户感染新病毒。
附件列表
词条内容仅供参考,如果您需要解决具体问题
(尤其在军事战略、军事时事等领域),建议您咨询相关领域专业人士。
如果您认为本词条还有待完善,请 编辑