|
病毒名称:N/A(Kaspersky)
病毒别名:Win32.Hack.RedGirl.aa.474280(毒霸)
Backdoor.Agent.fwe(瑞星)
病毒大小:474,280 字节
加壳方式:PE_Patch
样本MD5:a590dc7f08316d404307ceb9f02aa77f
样本SHA1:1ae2d774957b1907ba62ba9812ecf18cc9c46b4c
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:恶意网页、其它病毒下载
技术分析
==========
这是一个后门程序,运行后复制自身到系统目录:
%System%\spoo1sv.exe
并释放文件:
%System%\spoo1sv.dat
使用%System%\tmp.bat批处理删除自身:
echo off
:delete
del "server.exe"
if exist "exe" goto delete
del "%System%\tmp.bat"
echo on
创建服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\appeven]
显示名:COM+ Even App
描述:为基于COM+ 组件的配置和跟踪提供服务
可执行文件的路径:%System%\spoo1sv.exe -service
尝试访问网络。
清除步骤
==========
1. 删除服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\appeven]
2. 重新启动计算机
3. 删除文件:
%System%\spoo1sv.exe
%System%\spoo1sv.dat
|
