病毒名称：JS.Netdex

　　别名：Backdoor.Netdex, Jscript.Netdex.Trojan

　　发现日期：2002-10-17

　　病毒类型：特洛伊木马

　　危害级别：中

　　传播速度：低

　　技术特征：

　　该病毒是一个Windows 32木马，利用了Microsoft虚拟机的一个安全漏洞。此漏洞可让恶意脚本访问用户机器上安装的任何ActiveX控件。有关此漏洞的补丁可到微软站点下载：http://support.microsoft.com/support/kb/articles/Q275/6/09.ASP。

　　此木马病毒由许多组件构成，包括DOS可执行COM程序、Win32 PE程序，以及带有Visual Basic及Java脚本的JS及HTML文件。另外，它还会创建一些临时的BAT及文本文件。

　　假如未安装上述补丁的用户浏览了一个含有恶意脚本的特殊站点，则此木马会生成两个文件到本地磁盘。一个是DOS程序“a.com”，在TMP目录下，另一个是“zshell.js”创建在用户的Cookies文件夹内。随后病毒会执行第二个文件。执行后，它创建并运行临时BAT脚本“a.bat”。该批处理脚本执行程序 “a.com”，执行完后将其删除，并且删除批处理脚本本身。

　　 “a.com”运行后，它会解码、解压并生成一个叫“netd.exe”的Win32 PE程序。木马利用此程序来执行它所有的Internet通信，如下载文件或发送邮件等。而“netd.exe”利用“i.js” 作为其变量的一个输入文件，且执行完命令后输出“o.js” 文件。

　　最后，运行“zshell.js”中的代码，以下载并执行另一个脚本 “install.php”。该脚本下载运行后会将木马的主程序安装在本地机器。为了在下次启动时木马能自动运行，它会修改注册表：

　　HKLMMicrosoftWindowsCurrentVersionRunTime Zone Synchronization = “wscript%Cookies%zshell.js”

　　HKCUMicrosoftWindowsCurrentVersionRunTime Zone Synchronization = “wscript%Cookies%zshell.js”

　　另外，木马会生成一个HTML文件，该文件含有能激发“zshell.js” 的代码，并且会注册到以下注册表中：

　　HKLM MicrosoftInternet ExplorerAboutURLsPostNotCached = “%Cookies%

　　epost.html”

　　木马的主程序会识别并执行10个基本命令：EXIT, NOBREAK, SETCMDURL, RUN, SENDMAIL, UPDATE, ALERT, SLEEP, SENDCONFIRM, RUNTHESELF。