金山毒霸(Win32.Troj.Unknown.a.412826)
AVG(Generic9.AQHK)
安博士V3(Win-Trojan/Hupigon.Gen)
加壳方式:未
编写语言:Delphi
文件MD5:a79d8dddadc172915a3603700f00df8c
病毒类型:远程控制
行为分析:
1、 释放病毒文件:
C:\WINDOWS\Kvmon.dll 361984 字节
C:\WINDOWS\Kvmon.exe 412829 字节
2、 修改注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(注册表值) Userinit
REG_SZ, "C:\WINDOWS\system32\userinit.exe,"
修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe �Cini
3、 启动IE进程,并把Kvmon.dll注入其中。
4、 添加注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
(注册表值) Beizhu = REG_SZ, "上线"
(注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上线>远程上线主机>25>0>1080>guest>123456>"
5、 读取上述注册表键,反弹连接外部,接受黑客控制。
6、 全部释放完毕,调用cmd.exe删除旧文件。
解决方法:
1、 打开任务管理器,结束可见的IE进程(iexplore.exe),后断开网络连接。
2、 开始-运行-regedit.exe 打开注册表到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(注册表值) Userinit
点击修改,修改为:C:\WINDOWS\system32\userinit.exe,
注意逗号不能省略,如果是2000/NT系统的话,则是:C:\WINnt\system32\userinit.exe,
3、 删除文件:
C:\WINDOWS\Kvmon.dll 361984 字节
C:\WINDOWS\Kvmon.exe 412829 字节