amvo.exe(PWS-LegMir.gen.k)木马
文件名称:amvo.exe
文件大小:109,413 bytes
病毒命名:PWS-LegMir.gen.k
文件MD5:B2EBF3E213B9C8E25DD3C5CAFFE12780
加壳方式:NsPack
病毒类型:木马
主要行为:
1、释放文件:
C:\Windows\System32\amvo0.dll 71,680 bytes
C:\Windows\System32\amvo.exe 109,413 bytes
2、添加启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
amva = " C:\Windows\System32\amvo.exe"
3、修改注册表,禁止显示隐藏文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0x00000000
amvo.exe的文件属性是隐藏、系统的,所以无法正常删除。
4、amvo0.dll 则注入explorer.exe进程,记录一些键盘鼠标操作。
5、根据病毒体内的字符串,可能会感染可移动介质。(U盘、移动硬盘、储存卡等)
解决方法:
1、下载PowerRmv,后断开网络连接。
2、打开PowerRmv,填入以下内容,选上抑制杀灭对象生成。
C:\Windows\System32\amvo0.dll
C:\Windows\System32\amvo.exe
3、删除注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
amva 键。
4、修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0x000000
改为:CheckedValue = 0x000001
[