Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

文件名称：IRAT.rmvb\mm.exe
文件大小：140800 byte
AV命名：
Downloader.Win32.Delf.dqu（卡巴斯基）
MultiDropper-JD（迈克菲）
Downloader/W32.Agent.137216.I（nProtect）
加壳方式：未
编写语言：Delphi
文件MD5：1b2cf1cdcb03c7c990c6ffe5a75e0f9b
病毒类型：后门
行为分析：
1、 释放病毒副本：
C:\WINDOWS\system32\IRAT.rmvb 130194 字节
2、 注册为系统服务，开机由Svchost.exe启动：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRAT
类别名: {无类别}
值 0
名称: Type
类型: REG_DWORD
数据: 0x110
值 1
名称: Start
类型: REG_DWORD
数据: 0x2
值 2
名称: ErrorControl
类型: REG_DWORD
数据: 0x0
值 3
名称: ImagePath
类型: REG_EXPAND_SZ
数据: %SystemRoot%\System32\svchost.exe -k audiosrvc
值 4
名称: DisplayName
类型: REG_SZ
数据: IRAT
值 5
名称: ObjectName
类型: REG_SZ
数据: LocalSystem
值 6
名称: Description
类型: REG_SZ
数据: 系统进程

3、 做完上面工作后，再释放个DelEx.bat，删除自身。

4、 利用Svchost进程反向连接外部，接受远程控制。

5、 每隔一段时间检测自身注册表项和文件是否存在，若不在则重新生成。
解决方法：
1、下载SREng(可到down.45it.com下载)，然后重启电脑，按F8进入安全模式。
2、用SREng删除这个服务项：
[IRAT / IRAT][Running/Disabled]
{C:\windows\System32\svchost.exe -k audiosrvc--}C:\windows\system32\IRAT.rmvb}{}
3、删除硬盘文件：
C:\windows\system32\IRAT.rmvb

本文来自: 脚本之家(www.jb51.net) 详细出处参考：http://www.jb51.net/article/13286.htm