Win32.Troj.Autorun.mv.141312 杀软克星分析

病毒全名 Win32.Troj.Autorun.mv.141312

病毒长度 26462

威胁级别 ★★

中文名称 杀软克星

病毒别名

病毒类型 木马

病毒简介 这是一个木马病毒。该病毒运行后，通过映像劫持的手段，会使著名杀软都无法打开使用。浏览不了与安全或"病毒"相关的网页。使用户无法通过正常的杀毒方式解决该问题。

关键字：映像劫持,自删除,无法使用杀软,安全网页被屏蔽

病毒行为：

1.病毒运行后，产生以下病毒文件

%Program Files%\\meex.exe

%Program Files%\\Common Files\\Microsoft Shared\\amartpg.inf

%Program Files%\\Common Files\\Microsoft Shared\\havnepc.exe

%Program Files%\\Common Files\\System\\bhekrgm.exe

2.病毒运行成功后，会自行删除病毒源文件。

3.在注册表中，病毒自行添加键值

HKCU\\Software\\ajjood

HKCU\\Software\\lbdwwd

HKLM\\software\\microsoft\\windows NT\\CurrentVersion\\Image File Execution(映像劫持)

4.该病毒运行后，著名杀软不可使用(无法打开)，如毒霸、卡巴斯基等。

5.启动项被病毒纂改

启动项名:bhekrgm 对应路径:%Program Files%\\Common Files\\System\\bhekrgm.exe

启动项名:havnepc 对应路径:%Program Files%\\Common Files\\Microsoft Shared\\havnepc.exe

6.打开浏览器，如果有关于安全或者"病毒"字眼的网站全部被自行关闭。