主要行为:
1、 释放文件:
C:\WINDOWS\Fonts\Service0.jpg 640106 字节(备份文件)
C:\WINDOWS\system32\Service0.exe 640106 字节
C:\WINDOWS\system32\Service0.dll 134656 字节
2、 注册为系统服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gressep0
(注册表值) DisplayName = REG_SZ, "gressep0"
(注册表值) ErrorControl = REG_DWORD, 1
(注册表值) ImagePath = REG_EXPAND_SZ, "C:\windows\system32\Service0.exe"
(注册表值) ObjectName = REG_SZ, "LocalSystem"
(注册表值) Start = REG_DWORD, 2
(注册表值) Type = REG_DWORD, 272
3、 记录键盘等操作。
4、 Service0.dll注入IEXPLORE.EXE,反向连接wshk***.vicp.net。
解决方法:
1.下载SREng(可到down.45it.com下载)。后断开网络连接。
2.结束IE进程。并用SREng删除服务项:gressep0
3.重启计算机,删除文件:
C:\WINDOWS\Fonts\Service0.jpg 640106 字节(备份文件)
C:\WINDOWS\system32\Service0.exe 640106 字节
C:\WINDOWS\system32\Service0.dll 134656 字节
时间: 2024-09-21 20:17:11