行为表现:
1, 建立与U盘中文件夹同名的exe文件,大小为1.44m。
2,释放文件c:\windows\system32-com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,og.dll,og.EDT,RegEx.fnr,shell.fne,spec.fne,ul.dll,XP-3196B69A。EXE样本不全,只是截获到一部分功能。
3, XP-3196B69A.EXE是一个下载者,运行都首先打开同名的文件夹,之后添加启动项
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ .lnk
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
都是指向C:\WINDOWS\system32\XP-3196B69A.EXE
4,下载伪装成gif的exe程序http://twocannon250.com.cn/i.gif。
5,打开钓鱼网站http://www.kldcg.cn/k.html?mid=2309,
解决办法:
用FileForceKiller清除上述文件,删除注册表的相关启动项。
病毒样本下载:
纳米下载地址