网友遇到 Trojan.DL.Win32.Agent.yqv，疑是ARP病毒传播

网友遇到 Trojan.DL.Win32.Agent.yqv，疑是ARP病毒传播

endurer 原创
2007-09-21 第1版

一位网友发来 email 说他现在使用电脑浏览网页时，隔一段时间瑞星就会提示发现病毒：
/---
病毒名称                        处理结果    发现日期    路径   文件
Trojan.DL.Script.VBS.Agent.xgp  跳过脚本    2007-09-20 20:39  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp   2072186203104.tmp
Hack.Exploit.Script.JS.Bugexp.a 跳过脚本    2007-09-20 20:39  C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp   2072186203104.tmp
---/

接着系统提示下载文件：Thunder.js，下载后用瑞星扫描报为：Trojan.DL.JS.THunder.b，

Scanned file:   Thunder.js - Infected

Thunder.js - infected by ​​Trojan-Downloader.JS.Agent.pg​​

他把这个文件作为附件发过来了。

Thunder.js 的功能为：运行 IE，把窗口移动到屏幕显示范围之外，打开hxxp://news.1**6*3-s*tv.com/page/image/Downer.html，利用讯雷漏洞，运行下载到 IE 缓存中的 abc[1].exe

hxxp://news.1**6*3-s*tv.com/page/image/Downer.html 内容为：
/---
＜script src="page.exe"＞＜/script＞
---/

文件说明符 : D:/test/page.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-20 23:17:31
修改时间 : 2007-9-20 23:17:42
访问时间 : 2007-9-20 0:0:0
大小 : 10596 字节 10.356 KB
MD5 : c9ce5001e401cc796785810d9a3a91b2
HSA1: 153C5DA7A325A8C50DEC9921B1816001BCB74C2B

瑞星报为 Trojan.DL.Win32.Agent.yqv

Scanned file:   page.exe - Infected

page.exe - infected by ​​Trojan-Downloader.Win32.Small.fso​​

把 pe_xscan 传给他 扫描 log 发回来分析，未发现可疑项。

怀疑是与网友电脑处于同一网络的其他电脑中了ARP病毒，该病毒会定期在网页中加入恶意代码。