词条 | sxs.exe |
释义 | 简介这是一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘即网络传播。该病毒的主要危害是盗取QQ帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。 表现1,生成文件%system%\\SVOHOST.exe %system%\\winscok.dll 2,添加启动项HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "SoundMam" = "%system%\\SVOHOST.exe" 3,盗取方式键盘记录,包括软件盘;将盗取的号码和密码通过邮件发送到指定邮箱。 4,传播方式检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。 sxs.exe autorun.inf 5,添加内容autorun.inf添加下列内容,达到自运行的目的。 [AutoRun] open=sxs.exe shellexecute=sxs.exe 6,关闭窗口名为下列的应用程序QQKav 雅虎助手 防火墙 网镖 杀毒 病毒 木马 恶意 QQAV 噬菌体 7,结束下列进程sc.exe net.exe sc1.exe net1.exe PFW.exe Kav.exe KVOL.exe KVFW.exe TBMon.exe kav32.exe kvwsc.exe CCAPP.exe EGHOST.exe KRegEx.exe kavsvc.exe VPTray.exe RAVMON.exe KavPFW.exe SHSTAT.exe RavTask.exe TrojDie.kxp Iparmor.exe MAILMON.exe MCAGENT.exe KAVPLUS.exe RavMonD.exe Rtvscan.exe Nvsvc32.exe KVMonXP.exe Kvsrvxp.exe CCenter.exe KpopMon.exe RfwMain.exe KWATCHUI.exe MCVSESCN.exe MSKAGENT.exe kvolself.exe KVCenter.kxp kavstart.exe RAVTIMER.exe RRfwMain.exe FireTray.exe UpdaterUI.exe KVSrvXp_1.exe RavService.exe 8,删启动项 HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run RavTask KvMonXP YLive.exe yassistse KAVPersonal50 NTdhcp WinHoxt sxs.exe病毒的传播sxs.exe病毒一般是通过U盘、移动硬盘及储存工具进行传播的。当U盘被插入被病毒感染的电脑后,病毒会首先查找U盘的根目录里有没有sxs.exe和autorun.inf这两个文件,如果没有,病毒会自动把sxs.exe和autorun.inf复制到U盘的根目录下;如果有,病毒会设置sxs.exe的属性为只读且为系统文件,以达到隐藏自身的目的,并把原有的autorun.inf删除,重新创建一个autorun.inf文件,并写入数据。 Sxs.exe病毒的查杀手动删除“sxs.exe病毒”方法: 在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开 方法一1、 了解了病毒的传播方式,我们发现,可以通过在每一个盘符下放一个空白的sxs.exe文件,这样,病毒就不会复制一个真正的sxs.exe病毒到硬盘上了。 2、免疫的方法: 新建一个文本文档,不用写入任何数据,重名为:sxs.exe。把这个假的sxs.exe复制到U盘的根目录下去就可以了。这样,就不会中真的sxs.exe了。 3、免疫有效期: 目前为止,还没有发现有新的变种可以躲过此种免疫方案。 方法二1、关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉 2、显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\\Software\\Microsoft\\windows\\CurrentVersion\\explorer\\Advanced\\Folder\\Hidden\\SHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了) 方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示 3、删除病毒 在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。 4、删除病毒的自动运行项 打开注册表 运行——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\\\WINDOWS\\system32\\SVOHOST.exe 的 最后到 C:\\\\WINDOWS\\system32\\ 目录下删除 SVOHOST.exe 或 sxs.exe 重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。 前言:看到一个毒,动作非常简单,但有一点却算是有点创新精神的 字串7 ================================================================= 字串5 sxs.exe样本信息: 字串7 反病毒引擎 版本 最后更新 扫描结果 AhnLab-V3 2007.9.14.0 2007.09.14 - AntiVir 7.6.0.10 2007.09.14 BDS/Graybird.GN.462336 Authentium 4.93.8 2007.09.15 - Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO AVG 7.5.0.485 2007.09.14 - BitDefender 7.2 2007.09.15 - CAT-QuickHeal 9.00 2007.09.14 - ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130 DrWeb 4.33 2007.09.14 - eSafe 7.0.15.0 2007.09.13 - eTrust-Vet 31.1.5136 2007.09.14 - Ewido 4.0 2007.09.15 Backdoor.BlackHole.j FileAdvisor 1 2007.09.15 - Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr F-Prot 4.3.2.48 2007.09.15 - F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs McAfee 5120 2007.09.14 BackDoor-CGX Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T NOD32v2 2531 2007.09.15 - Norman 5.80.02 2007.09.14 W32/Malware.APNA Panda 9.0.0.4 2007.09.14 Suspicious file Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile Rising 19.40.51.00 2007.09.15 - Sophos 4.21.0 2007.09.15 Mal/Generic-A Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T Symantec 10 2007.09.15 W32.SillyFDC TheHacker 6.2.5.060 2007.09.14 - VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j VirusBuster 4.3.26:9 2007.09.14 - Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird.GN.462336 附加信息 File size: 505733 bytes MD5: b3bc73a0649c097457099d1d8363213d SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e packers: BINARYRES Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310 字串9 字串6 ================================================================= 字串5 文件改动: 字串4 创建: 字串4 C:\\WINDOWS\\system32\\sysclient.exe C:\\WINDOWS\\system\\services.exe C:\\WINDOWS\\winstart.dlll (注意是dlll而不是dll) 字串9 ----------------------------------------------------------------- 字串5 注册表改动: 字串7 添加: 字串2 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden Type: REG_DWORD, Length: 4, Data: 0 字串9 HKCR\\.dlll Desired Access: All Access HKCR\\.dlll\\(Default) Type: REG_SZ, Length: 30, Data: dlll_Auto_File 字串2 HKCR\\dlll_Auto_File Desired Access: All Access HKCR\\dlll_Auto_File\\(Default) Type: REG_SZ, Length: 2, Data: HKCR\\dlll_Auto_File\\shell\\open\\command Desired Access: All Access HKCR\\dlll_Auto_File Desired Access: Maximum Allowed HKCR\\dlll_Auto_File\\shell Desired Access: Maximum Allowed HKCR\\dlll_Auto_File\\shell\\open Desired Access: Maximum Allowed HKCR\\dlll_Auto_File\\shell\\open\\command Desired Access: All Access HKCR\\dlll_Auto_File\\shell\\open\\command\\(Default) Type: REG_SZ, Length: 68, Data: C:\\WINDOWS\\system\\services.exe %1 字串3 HKCR\\.dlll Desired Access: All Access HKCR\\.dlll\\(Default) Type: REG_SZ, Length: 30, Data: dlll_auto_file 字串8 HKCR\\dl1_auto_file\\shell\\open\\command Desired Access: All Access HKCR\\dl1_auto_file Desired Access: Maximum Allowed HKCR\\dl1_auto_file\\shell Desired Access: Maximum Allowed HKCR\\dl1_auto_file\\shell\\open Desired Access: Maximum Allowed HKCR\\dl1_auto_file\\shell\\open\\command Desired Access: All Access HKCR\\dl1_auto_file\\shell\\open\\command\\(Default) Type: REG_SZ, Length: 62, Data: C:\\WINDOWS\\system\\services.exe 字串4 HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run Desired Access: All Access HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run\\soundman Type: REG_SZ, Length: 48, Data: C:\\WINDOWS\\WinStar.dlll 字串4 ================================================================= 字串9 创建了新的文件类型,把打开方式指向病毒主文件,在run键值里面直接写入C:\\WINDOWS\\WinStar.dlll; 字串7 且不论这种加载方式是否高明,这个病毒是否厉害,相比于现在许许多多的使用生成器弄出来的“标准”病毒和一些用烂了的手法来说,这个东西算是有创新精神了; 字串2 当然,制作病毒始终是犯法的,取其创新精华吧。 字串7 P.S.很久没有上传样本到VT检测,今天居然发现它有中文版了,呵呵! 字串4 ================================================================= 字串3 原创文件文章,作者dikex(六翼刺猬),转载请注明出处; 文章地址:http://hi.baidu.com/dikex/blog/item/102881097eddec276b60fb9d.html |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。