%system%文件夹中的Wuauclt.exe是WINDOWS自动更新的客户端。
但是,今天提到的wuauclt.exe并不是%system%文件夹中的wuauclt.exe。它位于%windows%文件夹中。
今天VirusTotal多引擎扫描结果,只有4个报告,其中3个报告可疑;红伞的启发式报告“恶意程序”。这四个家庭都没有给出具体的名字。
连接到网络时,运行此wuauclt.exe,它通过端口80访问61.128.196.671以创建以下文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
C:\windows\noruns.reg(该文件在内容导入注册表后会自动删除。)
在除系统分区和u盘根目录外的所有分区的根目录下创建sxs.exe和autorun.inf。
其中C:\windows\bbyb.dll动态插入到应用程序进程中。
C:\windows\wuauclt.exe删除注册表中瑞星、KV、卡巴斯基、雅虎助手的启动项和服务项。有趣的是,它还删除了一个流行木马NTdhcp.exe的启动项。
添加的注册表启动项是:
HKLM \软件\微软\视窗\当前版本\运行\
微软
杀戮:
结束C:\windows\wuauclt.exe进程。
这个过程完成后,可以直接删除u盘中的sxs.exe和autorun.inf。删除后,拔出u盘。
然后,删除以下文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
删除其启动项。
