sxs.exe

介紹

該病毒的主要危害是盜取QQ帳戶和密碼；該病毒還會結束大量反病毒軟體，降低系統的安全等級。

表現

1，生成檔案

%system%\SVOHOST.exe

%system%\winscok.dll

2，添加啟動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"SoundMam" = "%system%\SVOHOST.exe"

3，盜取方式

鍵盤記錄，包括軟鍵盤；將盜取的號碼和密碼通過郵件傳送到指定信箱。

4，傳播方式

檢測系統是否有可移動磁碟，是則拷貝病毒到可移動磁碟根目錄。

sxs.exe

autorun.inf

5，添加內容

autorun.inf添加下列內容，達到自運行的目的。

[AutoRun]

open=sxs.exe

shellexecute=sxs.exe

6，關閉視窗名為下列的應用程式

QQKav

雅虎助手

防火牆

網鏢

防毒

病毒

木馬

惡意

QQAV

噬菌體

7，結束下列進程

sc.exe

net.exe

sc1.exe

net1.exe

PFW.exe

Kav.exe

KVOL.exe

KVFW.exe

TBMon.exe

kav32.exe

kvwsc.exe

CCAPP.exe

EGHOST.exe

KRegEx.exe

kavsvc.exe

VPTray.exe

RAVMON.exe

KavPFW.exe

SHSTAT.exe

RavTask.exe

TrojDie.kxp

Iparmor.exe

MAILMON.exe

MCAGENT.exe

KAVPLUS.exe

RavMonD.exe

Rtvscan.exe

Nvsvc32.exe

KVMonXP.exe

Kvsrvxp.exe

CCenter.exe

KpopMon.exe

RfwMain.exe

KWATCHUI.exe

MCVSESCN.exe

MSKAGENT.exe

kvolself.exe

KVCenter.kxp

kavstart.exe

RAVTIMER.exe

RRfwMain.exe

FireTray.exe

UpdaterUI.exe

KVSrvXp_1.exe

RavService.exe

8，刪啟動項

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

YLive.exe

yassistse

KAVPersonal50

NTdhcp

WinHoxt

傳播

sxs.exe病毒一般是通過隨身碟、移動硬碟及儲存工具進行傳播的。當隨身碟被插入被病毒感染的電腦後，病毒會首先查找隨身碟的根目錄里有沒有sxs.exe和autorun.inf這兩個檔案，如果沒有，病毒會自動把sxs.exe和autorun.inf複製到隨身碟的根目錄下；如果有，病毒會設定sxs.exe的屬性為唯讀且為系統檔案，以達到隱藏自身的目的，並把原有的autorun.inf刪除，重新創建一個autorun.inf檔案，並寫入數據。

查殺

手動刪除“sxs.exe病毒”方法：

在以下整個過程中不得雙擊分區盤，需要打開時用滑鼠右鍵——打開

方法一

1、 了解了病毒的傳播方式，我們發現，可以通過在每一個盤符下放一個空白的sxs.exe檔案，這樣，病毒就不會複製一個真正的sxs.exe病毒到硬碟上了。

2、免疫的方法：

新建一個文本文檔，不用寫入任何數據，重名為：sxs.exe。把這個假的sxs.exe複製到隨身碟的根目錄下去就可以了。這樣，就不會中真的sxs.exe了。

3、免疫有效期：

目前為止，還沒有發現有新的變種可以躲過此種免疫方案。

方法二

1、關閉病毒進程

Ctrl + Alt + Del 任務管理器，在進程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個字母），有的話就將它結束掉

2、顯示出被隱藏的系統檔案

運行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

這裡要注意，病毒會把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字元串值CheckedValue，並且把鍵值改為0！我們將這個改為1是毫無作用的。（有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重新建一個就可以了）

方法：刪除此CheckedValue鍵值，單擊右鍵 新建——Dword值——命名為CheckedValue，然後修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏檔案”和“顯示系統檔案”。

在資料夾——工具——資料夾選項中將系統檔案和隱藏檔案設定為顯示

3、刪除病毒

在分區盤上單擊滑鼠右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個檔案，將其刪除。

4、刪除病毒的自動運行項

打開註冊表 運行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 鍵值，可能有兩個，刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的

最後到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe

重啟電腦後，發現防毒軟體可以打開，分區盤雙擊可以打開了。

前言：看到一個毒，動作非常簡單，但有一點卻算是有點創新精神的 字串7

=================================================================

字串5

sxs.exe樣本信息： 字串7

反病毒引擎 版本 最後更新 掃描結果

AhnLab-V3 2007.9.14.0 2007.09.14 -

AntiVir 7.6.0.10 2007.09.14 BDS/Graybird. GN.462336

Authentium 4.93.8 2007.09.15 -

Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO

AVG 7.5.0.485 2007.09.14 -

BitDefender 7.2 2007.09.15 -

CAT-QuickHeal 9.00 2007.09.14 -

ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130

DrWeb 4.33 2007.09.14 -

eSafe 7.0.15.0 2007.09.13 -

eTrust-Vet 31.1.5136 2007.09.14 -

Ewido 4.0 2007.09.15 Backdoor.BlackHole.j

FileAdvisor 1 2007.09.15 -

Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr

F-Prot 4.3.2.48 2007.09.15 -

F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs

Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir

Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs

McAfee 5120 2007.09.14 BackDoor-CGX

Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T

NOD32v2 2531 2007.09.15 -

Norman 5.80.02 2007.09.14 W32/Malware.APNA

Panda 9.0.0.4 2007.09.14 Suspicious file

Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile

Rising 19.40.51.00 2007.09.15 -

Sophos 4.21.0 2007.09.15 Mal/Generic-A

Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T

Symantec 10 2007.09.15 W32.SillyFDC

TheHacker 6.2.5.060 2007.09.14 -

VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j

VirusBuster 4.3.26:9 2007.09.14 -

Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird. G N.462336

附加信息

File size: 505733 bytes

MD5: b3bc73a0649c097457099d1d8363213d

SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e

packers: BINARYRES

Prevx info: http://fileinfo.prevx.c om/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310

字串9

字串6

=================================================================

字串5

檔案改動： 字串4

創建： 字串4

C:\WINDOWS\system32\sysclient.exe

C:\WINDOWS\system\services.exe

C:\WINDOWS\winstart.dlll (注意是dlll而不是dll)

字串9

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

字串5

註冊表改動：

字串7

添加：

字串2

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden Type: REG_DWORD, Length: 4, Data: 0 字串9

HKCR\.dlll Desired Access: All Access

HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_Auto_File 字串2

HKCR\dlll_Auto_File Desired Access: All Access

HKCR\dlll_Auto_File\(Default) Type: REG_SZ, Length: 2, Data:

HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access

HKCR\dlll_Auto_File Desired Access: Maximum Allowed

HKCR\dlll_Auto_File\shell Desired Access: Maximum Allowed

HKCR\dlll_Auto_File\shell\open Desired Access: Maximum Allowed

HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access

HKCR\dlll_Auto_File\shell\open\command\(Default) Type: REG_SZ, Length: 68, Data: C:\WINDOWS\system\services.exe %1 字串3

HKCR\.dlll Desired Access: All Access

HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_auto_file

字串8

HKCR\dl1_auto_file\shell\open\command Desired Access: All Access

HKCR\dl1_auto_file Desired Access: Maximum Allowed

HKCR\dl1_auto_file\shell Desired Access: Maximum Allowed

HKCR\dl1_auto_file\shell\open Desired Access: Maximum Allowed

HKCR\dl1_auto_file\shell\open\command Desired Access: All Access

HKCR\dl1_auto_file\shell\open\command\(Default) Type: REG_SZ, Length: 62, Data: C:\WINDOWS\system\services.exe 字串4

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Desired Access: All Access

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\soundman Type: REG_SZ, Length: 48, Data: C:\WINDOWS\WinStar.dlll 字串4

================================================================= 字串9

創建了新的檔案類型，把打開方式指向病毒主檔案，在run鍵值裡面直接寫入C:\WINDOWS\WinStar.dlll；

字串7

且不論這種載入方式是否高明，這個病毒是否厲害，相比於現在許許多多的使用生成器弄出來的“標準”病毒和一些用爛了的手法來說，這個東西算是有創新精神了；

字串2

當然，製作病毒始終是犯法的，取其創新精華吧。 字串7

P.S.很久沒有上傳樣本到VT檢測，今天居然發現它有中文版了，呵呵！

字串4

================================================================= 字串3

原創檔案文章，作者dikex（六翼刺蝟），轉載請註明出處；

文章地址：http://hi.baidu.c om/dikex/blog/item/102881097eddec276b60fb9d.html