文件名称：IRAT.rmvbmm.exe

文件大小：140800byte

AV命名：

Downloader.Win32.Delf.dqu（卡巴斯基）

MultiDropper-JD（迈克菲）

Downloader/W32.Agent.137216.I（nProtect）

加壳方式：未

编写语言：Delphi

文件MD5：1b2cf1cdcb03c7c990c6ffe5a75e0f9b

病毒类型：后门

行为分析：

1、释放病毒副本：

C:WINDOWSsystem32IRAT.rmvb130194字节

2、注册为系统服务，开机由Svchost.exe启动：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIRAT

类别名:{无类别}

值0

名称:Type

类型:REG_DWORD

数据:0x110

值1

名称:Start

类型:REG_DWORD

数据:0x2

值2

名称:ErrorControl

类型:REG_DWORD

数据:0x0

值3

名称:ImagePath

类型:REG_EXPAND_SZ

数据:%SystemRoot%System32svchost.exe-kaudiosrvc

值4

名称:DisplayName

类型:REG_SZ

数据:IRAT

值5

名称:ObjectName

类型:REG_SZ

数据:LocalSystem

值6

名称:Description

类型:REG_SZ

数据:系统进程

3、做完上面工作后，再释放个DelEx.bat，删除自身。

4、利用Svchost进程反向连接外部，接受远程控制。

5、每隔一段时间检测自身注册表项和文件是否存在，若不在则重新生成。

解决方法：

1、下载SREng(可到down.45it.com下载)，然后重启电脑，按F8进入安全模式。

2、用SREng删除这个服务项：

[IRAT/IRAT][Running/Disabled]

{C:windowsSystem32svchost.exe-kaudiosrvc--}C:windowssystem32IRAT.rmvb}{}

3、删除硬盘文件：

C:windowssystem32IRAT.rmvb