一、 病毒标签:
病毒名称: not-a-virus:AdWare.Win32.BHO.ayx
病毒类型: 木马
File MD5: 0x458FAEC38F8C81FC01A116461FCAB95F
Filesize: 180,914 bytes
公开范围: 完全公开
危害等级: C
加壳类型: Wise Installer stub
命名对照:
IKARUS
T3.1.01.26
2008.05.29.70835
2008-05-29
Virus.Win32.Trojan
18.198
Microsoft
1.3520
2008.05.29
2008-05-29
Backdoor:Win32/Ripinip.dll
11.346
二、 病毒描述:
该病毒为一个木马程序。运行后将释放病毒文件至系统目录以及临时目录,利用注册服务进行自启动。
三、 行为分析:
病毒运行后释放以下文件:
c:\WINDOWS\fsrep.exe
Date: 8-16-2004 12:00 PM
Size: 20,480 bytes
c:\WINDOWS\system32\niprp.dll
Date: 8-16-2004 12:00 PM
Size: 73,728 bytes
c:\WINDOWS\system32\pwfsh.dll
Date: 8-16-2004 12:00 PM
Size: 81,920 bytes
然后释放并运行
GLJ2.tmp
%Temp%\GLJ2.tmp
16,384 bytes
set.exe
%Temp%\set.exe
20,480 bytes
增加服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip
C:\WINDOWS\system32\rimon.dll>
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPRIP
HKEY_CLASSES_ROOT\TypeLib\{C3F4AE31-32C0-4D31-A90C-7B774CA8683D}
解决方案:
删除文件:
c:\WINDOWS\fsrep.exe
c:\WINDOWS\system32\niprp.dll
c:\WINDOWS\system32\pwfsh.dll
删除服务项目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPRIP
HKEY_CLASSES_ROOT\TypeLib\{C3F4AE31-32C0-4D31-A90C-7B774CA8683D}
您的位置: