文件名称:userinit.exe、system.exe
文件大小:290,816 bytes
AV命名:Trojan-Downloader.Win32.Agent.luc
加壳方式:UPX
文件MD5:813A825408593EFD1E849B9DBA463644
病毒类型:下载者
主要行为:
1、释放文件:
C:\Windows\System32\system.exe 290,816 bytes
C:\Windows\userinit.exe 290,816 bytes
2、添加启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = " C:\Windows\userinit.exe"
3、连接网络,开启6999端口访问scsm.ath.**,尝试下载木马至本地。
4、每隔一段时间会检测Userinit项,如果被删除则重新写入。
解决方法:
1、重启计算机,后按F8进入安全模式。
2、删除文件:
C:\Windows\System32\system.exe 290,816 bytes
C:\Windows\userinit.exe 290,816 bytes
3、升级杀毒软件,扫描计算机残余的木马。