文件名稱:mravsc32.exe
文件大小:432640 byte
AV命名:
Net-Worm.Win32.Kolabc.bh 卡巴斯基
Backdoor.Win32.SdBot.qqv 瑞星
Worm.Kolabc.bh.432640 金山
中文別名:魔波
加殼方式:Themida
編寫語言:VC
文件MD5:2519747f844d319ab78b67b6e7d223a4
行爲分析:
1、 釋放病毒文件:
C:\WINDOWS\system32\dllcache\mravsc32.exe 432640字節
2、 註冊系統服務,開機啓動。
服務名稱:Distributed Allocated Memory Unit
3、 修改註冊表,禁用系統安全中心、防火牆、信使、ICS等服務。
4、 連接IRC服務器:XXX.58871.com,允許對服務器命令做出響應。
5、開啓一個網絡線程,對特定網段進行139和445端口掃描
可能會因此傳播該病毒。
6、嘗試結束一些其他的病毒進程:
i11r54n4.exe
rate.exe
winsys.exe
irun4.exe
bbeagle.exe
d3dupdate.exe
teekids.exe
Penis32.exe
MSBLAST.exe
PandaAVEngine.exe
PandaAVEngine
taskmon.exe
mscvb32.exe
ssate.exe
rate.exe
winsys.exe
irun4.exe
bbeagle.exe
d3dupdate.exe
teekids.exe
Penis32.exe
MSBLAST.exe
PandaAVEngine.exe
PandaAVEngine
taskmon.exe
mscvb32.exe
ssate.exe
..................
7、當自身被結束時,由服務重新啓動。
解決方法:
1、下載SREng。
[url]http://www.kingzoo.com/tools/[/url]孤獨更可靠/sreng2.5.zip
刪除Distributed Allocated Memory Unit服務。
2、結束mravsc32.exe進程。
3、刪除文件:
C:\WINDOWS\system32\dllcache\mravsc32.exe 432640字節
