Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

文件名称:IRAT.rmvb\mm.exe

文件大小:140800 byte

AV命名:

Downloader.Win32.Delf.dqu(卡巴斯基)
MultiDropper-JD(迈克菲)
Downloader/W32.Agent.137216.I(nProtect)

加壳方式:未

编写语言:Delphi

文件MD5:1b2cf1cdcb03c7c990c6ffe5a75e0f9b

病毒类型:后门

行为分析:

1、 释放病毒副本:

C:\WINDOWS\system32\IRAT.rmvb  130194 字节

2、 注册为系统服务,开机由Svchost.exe启动:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRAT
类别名:         {无类别}
值  0
  名称:            Type
  类型:            REG_DWORD
  数据:            0x110

值  1
  名称:            Start
  类型:            REG_DWORD
  数据:            0x2

值  2
  名称:            ErrorControl
  类型:            REG_DWORD
  数据:            0x0

值  3
  名称:            ImagePath
  类型:            REG_EXPAND_SZ
  数据:            %SystemRoot%\System32\svchost.exe -k audiosrvc

值  4
  名称:            DisplayName
  类型:            REG_SZ
  数据:            IRAT

值  5
  名称:            ObjectName
  类型:            REG_SZ
  数据:            LocalSystem

值  6
  名称:            Description
  类型:            REG_SZ
  数据:            系统进程

 

3、 做完上面工作后,再释放个DelEx.bat,删除自身。


4、 利用Svchost进程反向连接外部,接受远程控制。


5、 每隔一段时间检测自身注册表项和文件是否存在,若不在则重新生成。

解决方法:

1、下载SREng(可到down.45it.com下载),然后重启电脑,按F8进入安全模式。

2、用SREng删除这个服务项:

[IRAT / IRAT][Running/Disabled]
  {C:\windows\System32\svchost.exe -k audiosrvc--}C:\windows\system32\IRAT.rmvb}{}

3、删除硬盘文件:

C:\windows\system32\IRAT.rmvb

你可能感兴趣的:(Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀)