收到样本。
运行后,在系统根目录以及其它分区根目录下释放:
xxx.exe和autorun.inf
autorun.inf的内容为:
[AutoRun]
Open=xxx.exe
shellexecute=xxx.exe
shell\Auto\command=xxx.exe
注册表改动:
在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
添加:"SavedLegacySettings"=hex:3c,00,00,00,b3,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00
在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
写:"ProxyEnable"=dword:00000000
xxx.exe没有向注册表内写入启动项。
关闭防火墙后,xxx.exe访问网络。此后,xxx.exe进程自动结束;系统连续受到来自61.49.194.76的攻击(图)。但均被卡巴斯基5.0灭掉。但是,用卡巴斯基5.0今天的病毒库扫xxx.exe————不报毒。
系统根目录以及其它分区根目录下的xxx.exe和autorun.inf可直接删除。
附件:
1558472006917181829.jpg