RPCS簡述
檔案編號:CISRT2006065病毒名稱:Trojan-PSW.Win32.QQRob.jq(Kaspersky)
病毒別名:Win32.Hack.HacDec.b.170496(毒霸)
Trojan.DL.Agent.yhw(瑞星)
病毒大小:170,496 位元組
加殼方式:N/A
樣本MD5:5aafc0ce2e2fee8b9690af1c8c11ae53
樣本SHA1:b4abb1fe952ad34c38148a5081c11888bd2d0536
發現時間:2006.11
更新時間:2006.11
關聯病毒:
傳播方式:通過惡意網站、其它病毒/木馬下載
技術分析
運行後複製自身到系統目錄:%System%\RpcS.exe,釋放%System%\RpcS.dll進駐記憶體,使用bat批處理刪除原檔案。創建服務
【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcS】顯示名:Remote Procedure Call System(RPCS)
描述:管理並控制RPC服務資料庫。
執行檔的路徑:%System%\RpcS.exe
嘗試訪問webhop.3322.org下載其它惡意程式等。
清除步驟
1. 刪除病毒創建的服務:【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcS】
2. 重新啟動計算機
3. 刪除病毒檔案:
%System%\RpcS.exe
%System%\RpcS.dll
