文件名称：spoolsv.exe

文件大小：46,592 bytes

AV命名：WORM_AUTORUN.ABI

文件MD5：0BF0BDC0A42A5E39637E9A5E5A0F886D

病毒类型：后门

主要行为：

1、释放文件：

c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe spoolsv.exe

2、添加启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"

3、连接irc服务器：124.217.248.1**

接收远程控制。

4、可能下载其他木马（未实现）。

 

解决方法：

1、打开注册表(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)，删除项目：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"

2、删除文件：c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe spoolsv.exe

3、清空系统临时文件夹。