Trojan.Win32.Agent.bld(Mcshie1d.exe)
U盘抓的。。。过了不少``
29日的卡吧、AVG、BD、Dr都没有报。
文件名称:fixfile.exe
文件大小:161792 byte
AV命名:Trojan.Win32.Agent.bld(瑞星)
依赖平台:Windows(9X以上系统)
加壳方式:PECompact 2.x
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:后门
文件MD5:493f2774a0d46300304139212c63f0bd
文件SHA1:da39a3ee5e6b4b0d3255bfef95601890afd80709
传播方式:网络,U盘等移动介质。
病毒行为:
1、释放病毒文件:
C:\Windows\system32\compobj32.dll 559616 字节
C:\Windows\system32\fixfile.exe 61792 字节
C:\Windows\system32\WMDSINFO.dll 19697 字节
C:\Windows\system32\Mcshie1d.exe 170496 字节
2、修改注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<WinLogon><fixfile.exe>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
<Userinit><C:\windows\system32\userinit.exe,Mcshie1d.exe>
附依注册表启动。
3、反向连接222.73.11.1** 上海市 电信IDC机房(外高桥)
应该是个后门,不过未做其他举动。
4、Mcshie1d.exe驻进程,检测移动介质介入,并尝试在目录生成Autorun.inf和Recyc1ed文件夹。
Autorun.inf内容:
open=Recyc1ed\Mcshie1d.exe
shell\open\Command="Recyc1ed\Mcshie1d.exe"
shell\explore\Command="Recyc1ed\Mcshie1d.exe -e"
shell\open\Command="Recyc1ed\Mcshie1d.exe"
shell\explore\Command="Recyc1ed\Mcshie1d.exe -e"
Recyc1ed文件夹内容:
C:\Windows\system32\compobj32.dll 559616 字节
C:\Windows\system32\fixfile.exe 61792 字节
C:\Windows\system32\WMDSINFO.dll 19697 字节
5、控制Explorer.exe进程。当自身被结束时,由Explorer.exe再次激活。
如果无检测到Mcshie1d.exe ,则激活\fixfile.exe 。
解决方法:
[url]http://free.ys168.com/?gudugengkekao[/url]下载:
sreng2.5.zip 780KB
冰刃.rar 2,110KB
1、打开冰刃,设置“禁止进线程创建”确定。
2、结束掉进程中Mcshie1d.exe ,后使用冰刃“文件”功能删除:
C:\Windows\system32\compobj32.dll
C:\Windows\system32\fixfile.exe
C:\Windows\system32\WMDSINFO.dll
C:\Windows\system32\Mcshie1d.exe
每个磁盘下的Autorun.inf和Recyc1ed文件夹。
3、设置冰刃,重启并监视。
4、重启后打开SREng,它会提示你userinit.exe被非法修改,点确定自动修复。
然后删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WinLogon><fixfile.exe> []
