查看文章 |
文件名称:mravsc32.exe
文件大小:432640 byte
AV命名:
Net-Worm.Win32.Kolabc.bh 卡巴斯基 Backdoor.Win32.SdBot.qqv 瑞星 Worm.Kolabc.bh.432640 金山
中文别名:魔波
加壳方式:Themida
编写语言:VC
文件MD5:2519747f844d319ab78b67b6e7d223a4
行为分析:
1、 释放病毒文件:
C:\WINDOWS\system32\dllcache\mravsc32.exe 432640字节
2、 注册系统服务,开机启动。
服务名称:Distributed Allocated Memory Unit
3、 修改注册表,禁用系统安全中心、防火墙、信使、ICS等服务。
4、 连接IRC服务器:XXX.58871.com,允许对服务器命令做出响应。
5、开启一个网络线程,对特定网段进行139和445端口扫描
可能会因此传播该病毒。 6、尝试结束一些其他的病毒进程: i11r54n4.exe .................. 7、当自身被结束时,由服务重新启动。 解决方法: 1、下载SREng。 http://www.kingzoo.com/tools/孤独更可靠/sreng2.5.zip 删除Distributed Allocated Memory Unit服务。 2、结束mravsc32.exe进程。 3、删除文件:
C:\WINDOWS\system32\dllcache\mravsc32.exe 432640字节
|
