病毒标签:
病毒名称:Backdoor.Win32.IRCBot.azi
病毒类型:蠕虫
危害级别:2
感染平台:Windows
病毒大小:65,536 字节
MD5 :80F764E2BE5B267390AF81A1AF7122ED
加壳类型:EXECryptor 2.2/2.3 (protected IAT) -> www.strongbit.com
Image063.zip (内含Image063.JPG_www.freehosting.com)
大小: 65,698 字节
检测名: Backdoor.Win32.IRCBot.azi(avp)
行为简介:
(1) 释放以下文件:
%systemroot%\system32\msnlive.exe(只读, 系统,隐藏属性)
(2) 添加注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Windows Live Service" = "msnlive.exe"
**************************************************************************************
日志表现:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows Live Service><msnlive.exe> []
==================================
正在运行的进程
[PID: 480 / Administrator][C:\WINDOWS\system32\msnlive.exe] [N/A, ]
==================================
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 480, C:\WINDOWS\SYSTEM32\MSNLIVE.EXE]
==================================
【解决方案】:
终止进程msnlive.exe(ctrl+alt+del组合键调用任务管理器)
1.建议使用费尔木马强力清除助手(可到down.45its.com下载)删除以下文件
使用说明:复制以下待删除文件文件列表,打开PowerRmv.exe,粘贴--清除,并抑制--开始--弹出创建举报邮件选否--最后选是。
c:\windows\system32\msnlive.exe
2.然后使用SREng(可到down.45its.com下载)修复下面各项:
启动项目 -- 注册表之如下项删除:
[Windows Live Service] <msnlive.exe>
|
