應用程式
svch0st.exe和系統進程svchost.exe只差一個字元,注意svch0st.exe中的0這個是數字零,而系統進程svchost.exe中的o是字母O。
該病毒運行後在系統資料夾%System%下創建自身的副本,檔案名稱為svch0st.exe。(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)
隨後病毒修改註冊表,以達到隨系統啟動而自動運行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
"svch0st.exe" = "%System%\svch0st.exe"
"taskmgr.exe" = "%System%\svch0st.exe"
病毒
病毒運行後檢查IE視窗標題欄,判定當前視窗是否為網上銀行的登入頁面,涉及到國內多家銀行的網上交易系統。一旦發現當前IE視窗為上述銀行的登入頁面,病毒立即開始記錄鍵盤輸入的所有鍵值,記錄的鍵值幾乎包括了所有可能的鍵盤錄入。竊取的用戶信息包括網上銀行的帳號、密碼、驗證碼等。當病毒截獲被感染計算機所輸入的鍵盤值後,將其竊取到的信息傳送到指定的地址。
清除方法:
關閉系統還原,開始-運行:msconfig (運行系統配置程式)。
在啟動項中取消"svch0st.exe" = "%System%\svch0st.exe"和 "taskmgr.exe" = "%System%\svch0st.exe" 兩項前面的勾。
打開任務管理器終止svch0st.exe,要看清楚不要弄錯了。
運行系統搜尋功能,並打開高級選項,查找隱藏的檔案,查找svch0st.exe並刪除。