文件名称：IRAT.rmvb\mm.exe 文件大小：140800 byte AV命名： Downloader.Win32.Delf.dqu（卡巴斯基） MultiDropper-JD（迈克菲） Downloader/W32.Agent.137216.I（nProtect） 加壳方式：未 编写语言：Delphi 文件MD5：1b2cf1cdcb03c7c990c6ffe5a75e0f9b 病毒类型：后门 行为分析： 1、 释放病毒副本： C:\WINDOWS\system32\IRAT.rmvb  130194 字节 2、 注册为系统服务，开机由Svchost.exe启动： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IRAT 类别名:         {无类别} 值  0   名称:            Type   类型:            REG_DWORD   数据:            0x110 值  1   名称:            Start   类型:            REG_DWORD   数据:            0x2 值  2   名称:            ErrorControl   类型:            REG_DWORD   数据:            0x0 值  3   名称:            ImagePath   类型:            REG_EXPAND_SZ   数据:            %SystemRoot%\System32\svchost.exe -k audiosrvc 值  4   名称:            DisplayName   类型:            REG_SZ   数据:            IRAT 值  5   名称:            ObjectName   类型:            REG_SZ   数据:            LocalSystem 值  6   名称:            Description   类型:            REG_SZ   数据:            系统进程   3、 做完上面工作后，再释放个DelEx.bat，删除自身。 4、 利用Svchost进程反向连接外部，接受远程控制。 5、 每隔一段时间检测自身注册表项和文件是否存在，若不在则重新生成。 解决方法： 1、下载SREng(可到down.45it.com下载)，然后重启电脑，按F8进入安全模式。 2、用SREng删除这个服务项： [IRAT / IRAT][Running/Disabled]   {C:\windows\System32\svchost.exe -k audiosrvc--}C:\windows\system32\IRAT.rmvb}{} 3、删除硬盘文件： C:\windows\system32\IRAT.rmvb