簡介
病毒別名: 處理時間:2006-12-06 威脅級別:★
中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是個盜取用戶QQ帳號的木馬,可以通過可移動介質傳播!
1、將自身複製為 %system%\svohost.exe並執行,釋放檔案 %system%\winscok.dll,並將這兩個檔案設定為隱藏和系統檔案屬性。
2、刪除以下檔案:
d:\autorun.inf
d:\sxs.exe
e:\autorun.inf
e:\sxs.exe
f:\autorun.inf
f:\sxs.exe
g:\autorun.inf
g:\sxs.exe
h:\autorun.inf
h:\sxs.exe
i:\autorun.inf
i:\sxs.exe
j:\autorun.inf
j:\sxs.exe
3、在可移動磁碟根目錄下生成檔案 autorun.inf 和病毒複製體 sxs.exe,並設定其為系統和隱藏檔案屬性。autorun.inf內容如下:
【AutoRun】
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
4、修改註冊以下表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDriveTypeAutoRun"=dword:bd
HKEY_LOCAL_MATHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall "CheckedValue"=0
5、創建自啟動註冊表項
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam "%system%\svohost.exe"
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\%system%\SVOHOST.exe "SVOHOST"
6、創建以下斥體來保證只有一個病毒體在執行:
ExeMutex_QQRobber2.0
DllMutex_QQRobber2.0
7、創建以下斥體來阻止安全軟體的運行:
AntiTrojan3721
ASSISTSHELLMUTEX
SKYNET_PERSONAL_FIREWALL
KingsoftAntivirusScanProgram7Mutex
8、嘗試停止並關閉以下服務:
srservice
sharedaccess
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter
9、嘗試查找並關閉含以下字元串的視窗:
qqkav
防火牆
網鏢
木馬
防毒
金山毒霸
噬菌體
QQAV
QQKav
TKillqqvir
10、嘗試關閉以下系統進程及與安全軟體相關的進程:
sc.exe、net.exe、sc1.exe、net1.exe、PFW.exe、kav.exe、KVOL.exe、kvfw.exe、TBMon.exe、kav32.exe、kvwsc.exe、CCAPP.exe、EGHOST.exe、KRegEx.exe、kavsvc.exe、VPTray.exe、RAVMON.exe、EGHOST.exe、KavPFW.exe、SHSTAT.exe、regedit.exe、RavTask.exe、TrojDie.kxp、Iparmor.exe、MAILMON.exe、MCAGENT.exe、KAVPLUS.exe、RavMonD.exe、Rtvscan.exe、NVSVC32.exe、KVMonXP.exe、Kvsrvxp.exe、CCenter.exe、KpopMon.exe、RfwMain.exe、regedit.exe、KWATCHUI.exe、mcvsescn.exe、mskagent.exe、kvolself.exe、KVCenter.kxp、kavstart.exe、ravtimer.exe、RRfwMain.exe、FireTray.exe、UpdaterUI.exe、KVSrvXp_1.exe、RavService.exe
11、刪除以下與安全軟體相關的啟動項:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ylive.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt
12、當檢測到QQ運行時刪除QQ的鍵盤保護檔案npkcrypt.sys。
