Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

文件名称：IRAT.rmvb\mm.exe

文件大小：140800 byte

AV命名：

Downloader.Win32.Delf.dqu（卡巴斯基）
MultiDropper-JD（迈克菲）
Downloader/W32.Agent.137216.I（nProtect）

加壳方式：未

编写语言：Delphi

文件MD5：1b2cf1cdcb03c7c990c6ffe5a75e0f9b

病毒类型：后门

行为分析：

1、 释放病毒副本：

C:\WINDOWS\system32\IRAT.rmvb  130194 字节

2、 注册为系统服务，开机由Svchost.exe启动：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRAT
类别名:         {无类别}
值  0
  名称:            Type
  类型:            REG_DWORD
  数据:            0x110

值  1
  名称:            Start
  类型:            REG_DWORD
  数据:            0x2

值  2
  名称:            ErrorControl
  类型:            REG_DWORD
  数据:            0x0

值  3
  名称:            ImagePath
  类型:            REG_EXPAND_SZ
  数据:            %SystemRoot%\System32\svchost.exe -k audiosrvc

值  4
  名称:            DisplayName
  类型:            REG_SZ
  数据:            IRAT

值  5
  名称:            ObjectName
  类型:            REG_SZ
  数据:            LocalSystem

值  6
  名称:            Description
  类型:            REG_SZ
  数据:            系统进程

 

3、 做完上面工作后，再释放个DelEx.bat，删除自身。


4、 利用Svchost进程反向连接外部，接受远程控制。


5、 每隔一段时间检测自身注册表项和文件是否存在，若不在则重新生成。

解决方法：

1、下载SREng(可到down.45it.com下载)，然后重启电脑，按F8进入安全模式。

2、用SREng删除这个服务项：

[IRAT / IRAT][Running/Disabled]
  {C:\windows\System32\svchost.exe -k audiosrvc--}C:\windows\system32\IRAT.rmvb}{}

3、删除硬盘文件：

C:\windows\system32\IRAT.rmvb