文件名稱：IRAT.rmvb\mm.exe

文件大?。?40800 byte

AV命名：

Downloader.Win32.Delf.dqu（卡巴斯基）
MultiDropper-JD（邁克菲）
Downloader/W32.Agent.137216.I（nProtect）

加殼方式：未

編寫語言：Delphi

文件MD5：1b2cf1cdcb03c7c990c6ffe5a75e0f9b

病毒類型：后門

行為分析：

1、 釋放病毒副本：

C:\WINDOWS\system32\IRAT.rmvb  130194 字節(jié)

2、 注冊(cè)為系統(tǒng)服務(wù)，開機(jī)由Svchost.exe啟動(dòng)：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRAT
類別名:         {無類別}
值  0
  名稱:            Type
  類型:            REG_DWORD
  數(shù)據(jù):            0x110

值  1
  名稱:            Start
  類型:            REG_DWORD
  數(shù)據(jù):            0x2

值  2
  名稱:            ErrorControl
  類型:            REG_DWORD
  數(shù)據(jù):            0x0

值  3
  名稱:            ImagePath
  類型:            REG_EXPAND_SZ
  數(shù)據(jù):            %SystemRoot%\System32\svchost.exe -k audiosrvc

值  4
  名稱:            DisplayName
  類型:            REG_SZ
  數(shù)據(jù):            IRAT

值  5
  名稱:            ObjectName
  類型:            REG_SZ
  數(shù)據(jù):            LocalSystem

值  6
  名稱:            Description
  類型:            REG_SZ
  數(shù)據(jù):            系統(tǒng)進(jìn)程

 

3、 做完上面工作后，再釋放個(gè)DelEx.bat，刪除自身。


4、 利用Svchost進(jìn)程反向連接外部，接受遠(yuǎn)程控制。


5、 每隔一段時(shí)間檢測(cè)自身注冊(cè)表項(xiàng)和文件是否存在，若不在則重新生成。

解決方法：

1、下載SREng(可到down.45it.com下載)，然后重啟電腦，按F8進(jìn)入安全模式。

2、用SREng刪除這個(gè)服務(wù)項(xiàng)：

[IRAT / IRAT][Running/Disabled]
  {C:\windows\System32\svchost.exe -k audiosrvc--}C:\windows\system32\IRAT.rmvb}{}

3、刪除硬盤文件：

C:\windows\system32\IRAT.rmvb

最新評(píng)論