文件名称:IRAT.rmvbmm.exe
文件大小:140800byte
AV命名:
Downloader.Win32.Delf.dqu(卡巴斯基)
MultiDropper-JD(迈克菲)
Downloader/W32.Agent.137216.I(nProtect)
加壳方式:未
编写语言:Delphi
文件MD5:1b2cf1cdcb03c7c990c6ffe5a75e0f9b
病毒类型:后门
行为分析:
1、释放病毒副本:
C:WINDOWSsystem32IRAT.rmvb130194字节
2、注册为系统服务,开机由Svchost.exe启动:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIRAT
类别名:{无类别}
值0
名称:Type
类型:REG_DWORD
数据:0x110
值1
名称:Start
类型:REG_DWORD
数据:0x2
值2
名称:ErrorControl
类型:REG_DWORD
数据:0x0
值3
名称:ImagePath
类型:REG_EXPAND_SZ
数据:%SystemRoot%System32svchost.exe-kaudiosrvc
值4
名称:DisplayName
类型:REG_SZ
数据:IRAT
值5
名称:ObjectName
类型:REG_SZ
数据:LocalSystem
值6
名称:Description
类型:REG_SZ
数据:系统进程
3、做完上面工作后,再释放个DelEx.bat,删除自身。
4、利用Svchost进程反向连接外部,接受远程控制。
5、每隔一段时间检测自身注册表项和文件是否存在,若不在则重新生成。
解决方法:
1、下载SREng(可到down.45it.com下载),然后重启电脑,按F8进入安全模式。
2、用SREng删除这个服务项:
[IRAT/IRAT][Running/Disabled]
{C:windowsSystem32svchost.exe-kaudiosrvc--}C:windowssystem32IRAT.rmvb}{}
3、删除硬盘文件:
C:windowssystem32IRAT.rmvb
【Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀】相关文章:
★ 特别注意"熊猫烧香"病毒!感染全盘EXE文件,并自动删除GHO文件
★ Backdoor.Win32.IRCBot.afm(video.exe)病毒的处理方法
★ 完美解决无法无法显示隐藏文件的问题(svohost.exe xsx.exe)