当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Downloader.Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀 | |||
2008-1-4 12:08:57 文/孤独更可… 出处:孤独更可靠bolg | |||
文件名称:IRAT.rmvb\mm.exe 文件大小:140800 byte AV命名: Downloader.Win32.Delf.dqu(卡巴斯基) 加壳方式:未 编写语言:Delphi 文件MD5:1b2cf1cdcb03c7c990c6ffe5a75e0f9b 病毒类型:后门 行为分析: 1、 释放病毒副本: C:\WINDOWS\system32\IRAT.rmvb 130194 字节 2、 注册为系统服务,开机由Svchost.exe启动: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRAT 值 1 值 2 值 3 值 4 值 5 值 6
3、 做完上面工作后,再释放个DelEx.bat,删除自身。
解决方法: 1、下载SREng(可到down.45its.com下载),然后重启电脑,按F8进入安全模式。 2、用SREng删除这个服务项: [IRAT / IRAT][Running/Disabled] 3、删除硬盘文件: C:\windows\system32\IRAT.rmvb |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |