开机下载thunder.js

cheninot

原来开机提示下载thunder.js，红伞杀了一遍未见有毒；SREng扫描也不见有异常的启动项。

怀疑局域网里有人中毒，现在疑似中毒的机器一开机杀软就会提示浏览器访问网页有毒! 大伙帮忙分析分析吧

huerling

没遇到这样的病毒.

妖精妹妹

应该是需要你进安全模式查杀把，不然的话很麻烦，什么国产瑞星国外挪吨都用上查下

销售的好

今晨在一篇百度提问上看到有关thunder.js的问题，问题如下：“ 系统出现下载thunder.js如何清除？？ 悬赏分：0 - 离问题结束还有 14 天 23 小时系统最近经常提醒我下载thunder.js这个文件，使得机器运行速度超慢，请问这个是病毒吗？如何杀掉？？？？希望能说详细点，谢谢了！”很吝啬哦，零分。。哈哈！没什么最近我电脑也遇到过这样问题，利用手头的一些资料写篇浅谈，希望得到大家的指正！Web迅雷 1.8.4.130 网马生成器（本网马利用 Web迅雷 1.8.4.130 版本 最新漏洞； 执行 EXE 程序；可过打全补丁的XP、2003、Vista 等操作系统。首先，访问 Thunder.html 文件， Thunder.html 文件调用 Thunder.js 文件Thunder.js 调用Web迅雷漏洞 ，本机C:\Documents and Settings\All Users\「开始」菜单\程序\启动 将生成 Thunder.hta 默认于 开机自启动hunder.hta 该文件 包含了 Downer.html 文件 以及调用Web迅雷来下载执行程序的代码Downer.html 是下载文件 该文件包含木马下载名称 Thunder.hta 代码中通过调用 C:\Progra~1\Intern~1\IEXPLORE.EXE 用IE来打开 Thunder.hta 所包含的木马下载文件 Downer.htm 从而得到木马下载地址 网马运行的整个过程，没有任何的异常） 这是我在爱国黑客3800hk.com找到个一个此类木马的生成器，我们看下有关简介我们便知道此木马的原理和执行过程，看来够狠毒，原理大致原理是利用迅雷的一个漏洞在电脑开始自动运行个下载页面调用下载在用户不知情下自动下载个真正意义上的病毒！因此当你访问某个页面提示此thunder.js是否下载时候我们没必要惊慌，因为他不是正真意义上的病毒，我们选择否就可以拉！建议网友们做好自己爱机安全防护，及时安装升级杀毒软件，配置好点的不妨再装个防火墙！ ----------------- 病毒小档案 Trojan.DL.JS.THunder.a 病毒分类    ：脚本病毒 病毒名称     Trojan.DL.JS.THunder.a 　     此网马利用，Web迅雷1.8.4.130版本的漏洞 访问Thunder.html文件时； Thunder.html文件调用Thunder.js文件； Thunder.js调用Web迅雷漏洞，在本机C:\Documents and Settings\All Users\「开始」菜单\程序\启动中将生成Thunder.hta默认于开机自启动。 Thunder.hta文件包含了Downer.html文件，以及调用Web迅雷来下载执行程序的代码。 Downer.html是下载文件，该文件包含木马下载名称。 Thunder.hta代码中通过调用 C:\Progra~1\Intern~1\IEXPLORE.EXE用IE来打开Thunder.hta所包含的木马下载文件Downer.htm，从而得到木马下载地址；从而实现病毒下载。 --------------- 知识贴士 关于*.js js为扩展名的文件,是用javascript脚本语言编写的. js文件常见的有两种用法。 1.在网页里使用：一般不能直接打开，只有配合网页使用，如果是想破解某网站的在线电影等，仅从js文件入手可能性不大，建议使用专门的抓取工具，如wpe，抓取网络封包，再对封包分析，js可以使用记事本编辑。 2.在单机使用，一般可以用来做为一个可执行程序直接双击就可以运行，当然前提是计算机没有安装网页设计软件。

moonsilver

样本发上来看看