AV命名：

金山毒霸（Win32.Troj.Unknown.a.412826）

AVG（Generic9.AQHK）

安博士V3（Win-Trojan/Hupigon.Gen）


加殼方式：未


編寫語言：Delphi


文件MD5：a79d8dddadc172915a3603700f00df8c


病毒類型：遠(yuǎn)程控制


行為分析：


1、  釋放病毒文件：


C:\WINDOWS\Kvmon.dll  361984 字節(jié)

C:\WINDOWS\Kvmon.exe  412829 字節(jié)


2、  修改注冊表，開機(jī)啟動(dòng)：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(注冊表值) Userinit

REG_SZ, "C:\WINDOWS\system32\userinit.exe," 

修改為REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini


3、  啟動(dòng)IE進(jìn)程，并把Kvmon.dll注入其中。


4、  添加注冊表：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

(注冊表值) Beizhu = REG_SZ, "上線"

 (注冊表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上線>遠(yuǎn)程上線主機(jī)>25>0>1080>guest>123456>"


5、  讀取上述注冊表鍵，反彈連接外部，接受黑客控制。


6、  全部釋放完畢，調(diào)用cmd.exe刪除舊文件。


解決方法：


1、  打開任務(wù)管理器，結(jié)束可見的IE進(jìn)程（iexplore.exe），后斷開網(wǎng)絡(luò)連接。


2、  開始-運(yùn)行-regedit.exe  打開注冊表到：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 (注冊表值) Userinit


點(diǎn)擊修改，修改為：C:\WINDOWS\system32\userinit.exe,


注意逗號(hào)不能省略，如果是2000/NT系統(tǒng)的話，則是：C:\WINnt\system32\userinit.exe,


3、  刪除文件：


C:\WINDOWS\Kvmon.dll  361984 字節(jié)

C:\WINDOWS\Kvmon.exe  412829 字節(jié)

最新評(píng)論