文件名称:NTSpool.exe 文件大小:724992 byte AV命名: 卡巴斯基 Backdoor.Win32.Agent.cvs 编写语言:VC8 文件MD5:349ce72841738810036f9c8e533160fb 病毒类型:IRCbot 行为: 1、 释放病毒副本: %Systemroot%\system32\NTSpool.exe 724992 字节 2、 添加注册表,开机启动: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run NTSpool = REG_SZ, "NTSpool.exe " 3、 启动svchost.exe进程,并把自身代码注入其中。 4、 连接195.16.51.2**IRC接受远程控制,不过该服务器已失效。 如成功连接,可能会接受一些命令: NICK 5、 会对MSN好友发送病毒压缩包和以下言语(未验证): WoW? is that really you... what the hell where you drinking :D 解决方法: 1、 下载SREng(可到down.45it.com下载),直接放桌面后断开网络连接。 2、 打开SREng,删除那个注册表启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 3、 重启电脑,然后删除NTSpool.exe文件,在C:\windows\system32下。 |