BITSEx.dll,Rootkit.Win32.Agent.btu查杀

Rootkit.Win32.Agent.btu病毒运行后获取系统文件夹路径%System32%\drivers\beep.sys，调用LoadLibraryA函数加载 SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，以系统原服务加载病毒释放的驱动文件，达到不对注册表操作的目的，即可躲避多款杀软的主动防御，释放驱动文件恢复SSDT使卡巴主动防御失效，等待加载完驱动后将beep.sys驱动文件删除，释放临时文件1923531_res.tmp到%temp%目录下，将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为：BITSEx.dll，执行完毕后将临时文件1923531_res.tmp删除，修改添加注册表病毒项，将病毒BITSEx.dll文件注入到svhost.exe进程中，等待病毒执行完以上操作将以命令行方式删除病毒自身，等待接受病毒作者发送的控制指令，受感染用户可能会被操纵进行 Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。

BITSEx.dll,Rootkit.Win32.Agent.btu行为分析
1、文件运行后会释放以下文件
%System32%\BITSEx.dll 　　　　69,632 字节

2、修改注册表项：
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
值: 字符串: "BITS"
描述：病毒服务名

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
新: C:\WINDOWS\system32\BITSEx.dll.
旧: C:\WINDOWS\system32\qmgr.dll.
描述：将注册表启动的DLL文件修改为病毒文件的DLL文件，使系统启动加载病毒文件

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
新: DWORD: 2 (0x2)
旧: DWORD: 3 (0x3)
描述：设置病毒服务的启动方式为自动

3、获取系统文件夹路径%System32%\drivers\beep.sys，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，以系统原服务加载病毒释放的驱动文件，达到不对注册表操作的目的，即可躲避多款杀软的主动防御，释放驱动文件恢复SSDT使卡巴主动防御失效，等待加载完驱动后将beep.sys驱动文件删除。

4、释放临时文件1923531_res.tmp到%temp%目录下，将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为：BITSEx.dll，执行完毕后将临时文件1923531_res.tmp删除。

5、将病毒BITSEx.dll文件注入到svhost.exe进程中，等待病毒执行完以上操作将以命令行方式《/c del %s > nul》删除病毒自身，等待接受病毒作者发送的控制指令。

BITSEx.dll,Rootkit.Win32.Agent.btu行为分析-网络行为
协议：TCP
端口：48
连接服务器名：nbnb48.3***.org
IP地址：61.151.239.***
连接到该服务器等待接受病毒作者发送的控制指令

BITSEx.dll,Rootkit.Win32.Agent.btu清除方案：
1、使用安天防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1） 进程管理找到svhost.exe进程中模块中的
BITSEx.dll病毒文件强行结束该病毒进程模块。

（2） 强行删除病毒衍生的文件%System32%\BITSEx.dll

（3） 删除病毒创建的注册表项，恢复注册表修改项
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
值: 字符串: "BITS"
删除该键值

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
新: C:\WINDOWS\system32\BITSEx.dll.
旧: C:\WINDOWS\system32\qmgr.dll.
恢复注册表原值C:\WINDOWS\system32\qmgr.dll.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
新: DWORD: 2 (0x2)
旧: DWORD: 3 (0x3)
恢复注册表原值DWORD: 3 (0x3)