Web迅雷 1.8.4.130 网马生成器(本网马利用 Web迅雷 1.8.4.130 版本 最新漏洞;
执行 EXE 程序;可过打全补丁的XP、2003、Vista 等操作系统。首先,访问 Thunder.html 文件, Thunder.html 文件调用 Thunder.js 文件Thunder.js 调用Web迅雷漏洞 ,本机C:\Documents and Settings\All Users\「开始」菜单\程序\启动
将生成 Thunder.hta 默认于 开机自启动hunder.hta 该文件 包含了 Downer.html 文件 以及调用Web迅雷来下载执行程序的代码Downer.html 是下载文件 该文件包含木马下载名称 Thunder.hta 代码中通过调用 C:\Progra~1\Intern~1\IEXPLORE.EXE
用IE来打开 Thunder.hta 所包含的木马下载文件 Downer.htm 从而得到木马下载地址
网马运行的整个过程,没有任何的异常)
建议先将迅雷卸载掉,再把系统打上最新的补丁,用360安全卫士全面诊治一下,再下载最新的迅雷安装上。关键是启动项设置,只要杀毒软件和ctfmon.exe。
download.aspxstring fileName = ""//客户端保存的文件名
string filePath = Server.MapPath("")//路径
FileInfo fileInfo = new FileInfo(filePath)
Response.Clear()
Response.ClearContent()
Response.ClearHeaders()
Response.AddHeader("Content-Disposition", "attachmentfilename=" + fileName)
Response.AddHeader("Content-Length", fileInfo.Length.ToString())
Response.AddHeader("Content-Transfer-Encoding", "binary")
Response.ContentType = "application/octet-stream"
Response.ContentEncoding = System.Text.Encoding.GetEncoding("gb2312")
Response.WriteFile(fileInfo.FullName)
Response.Flush()
Response.End()
这是一个木马病毒。此网马利用,Web迅雷1.8.4.130版本的漏洞
访问Thunder.html文件时;
Thunder.html文件调用Thunder.js文件;
Thunder.js调用Web迅雷漏洞,在本机C:\Documents and Settings\All Users\「开始」菜单\程序\启动中将生成Thunder.hta默认于开机自启动。
Thunder.hta文件包含了Downer.html文件,以及调用Web迅雷来下载执行程序的代码。
Downer.html是下载文件,该文件包含木马下载名称。
Thunder.hta代码中通过调用 C:\Progra~1\Intern~1\IEXPLORE.EXE用IE来打开Thunder.hta所包含的木马下载文件Downer.htm,从而得到木马下载地址;从而实现病毒下载。
用杀毒软件杀,也可手动清除。(这好像是隐藏文件)
