木马下载器（WinInfo.rxk WinInfo.bak）病毒解决方案

病毒名称：N/A（Kaspersky）

加壳方式：UPX

传播方式：通过恶意网页传播、其它木马下载

技术分析：

运行后复制自身到：

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak

在相同目录下释放WinInfo.rxk，注入Explorer.exe进程：

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk

创建启动信息，通过ShellExecuteHooks启动：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}\InProcServer32] @="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk"

尝试访问网络下载其它病毒、木马或其它恶意程序。

清除步骤：

1. 删除病毒创建的ShellExecuteHooks启动信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"

[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}]

2. 重新启动计算机

3. 删除文件：

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak