文件名称:mravsc32.exe
文件大小:432640 byte
AV命名:
Net-Worm.Win32.Kolabc.bh 卡巴斯基
Backdoor.Win32.SdBot.qqv 瑞星
Worm.Kolabc.bh.432640 金山
中文别名:魔波
加壳方式:Themida
编写语言:VC
文件MD5:2519747f844d319ab78b67b6e7d223a4
行为分析:
1、 释放病毒文件:
C:\WINDOWS\system32\dllcache\mravsc32.exe 432640字节
2、 注册系统服务,开机启动。
服务名称:Distributed Allocated Memory Unit
3、 修改注册表,禁用系统安全中心、防火墙、信使、ICS等服务。
4、 连接IRC服务器:XXX.58871.com,允许对服务器命令做出响应。
5、开启一个网络线程,对特定网段进行139和445端口扫描
可能会因此传播该病毒。
6、尝试结束一些其他的病毒进程:
i11r54n4.exe
rate.exe
winsys.exe
irun4.exe
bbeagle.exe
d3dupdate.exe
teekids.exe
Penis32.exe
MSBLAST.exe
PandaAVEngine.exe
PandaAVEngine
taskmon.exe
mscvb32.exe
ssate.exe
rate.exe
winsys.exe
irun4.exe
bbeagle.exe
d3dupdate.exe
teekids.exe
Penis32.exe
MSBLAST.exe
PandaAVEngine.exe
PandaAVEngine
taskmon.exe
mscvb32.exe
ssate.exe
..................
7、当自身被结束时,由服务重新启动。
解决方法:
1、下载SREng。
[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/sreng2.5.zip
删除Distributed Allocated Memory Unit服务。
2、结束mravsc32.exe进程。
3、删除文件:
C:\WINDOWS\system32\dllcache\mravsc32.exe 432640字节
