介紹
該病毒的主要危害是盜取QQ帳戶和密碼;該病毒還會結束大量反病毒軟體,降低系統的安全等級。
表現
1,生成檔案
%system%\SVOHOST.exe
%system%\winscok.dll
2,添加啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"
3,盜取方式
鍵盤記錄,包括軟鍵盤;將盜取的號碼和密碼通過郵件傳送到指定信箱。
4,傳播方式
檢測系統是否有可移動磁碟,是則拷貝病毒到可移動磁碟根目錄。
sxs.exe
autorun.inf
5,添加內容
autorun.inf添加下列內容,達到自運行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
6,關閉視窗名為下列的應用程式
QQKav
雅虎助手
防火牆
網鏢
防毒
病毒
木馬
惡意
QQAV
噬菌體
7,結束下列進程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
8,刪啟動項
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt
傳播
sxs.exe病毒一般是通過隨身碟、移動硬碟及儲存工具進行傳播的。當隨身碟被插入被病毒感染的電腦後,病毒會首先查找隨身碟的根目錄里有沒有sxs.exe和autorun.inf這兩個檔案,如果沒有,病毒會自動把sxs.exe和autorun.inf複製到隨身碟的根目錄下;如果有,病毒會設定sxs.exe的屬性為唯讀且為系統檔案,以達到隱藏自身的目的,並把原有的autorun.inf刪除,重新創建一個autorun.inf檔案,並寫入數據。
查殺
手動刪除“sxs.exe病毒”方法:
在以下整個過程中不得雙擊分區盤,需要打開時用滑鼠右鍵——打開
方法一
1、 了解了病毒的傳播方式,我們發現,可以通過在每一個盤符下放一個空白的sxs.exe檔案,這樣,病毒就不會複製一個真正的sxs.exe病毒到硬碟上了。
2、免疫的方法:
新建一個文本文檔,不用寫入任何數據,重名為:sxs.exe。把這個假的sxs.exe複製到隨身碟的根目錄下去就可以了。這樣,就不會中真的sxs.exe了。
3、免疫有效期:
目前為止,還沒有發現有新的變種可以躲過此種免疫方案。
方法二
1、關閉病毒進程
Ctrl + Alt + Del 任務管理器,在進程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一個字母),有的話就將它結束掉
2、顯示出被隱藏的系統檔案
運行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1
這裡要注意,病毒會把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字元串值CheckedValue,並且把鍵值改為0!我們將這個改為1是毫無作用的。(有部分病毒變種會直接把這個CheckedValue給刪掉,只需和下面一樣,自己再重新建一個就可以了)
方法:刪除此CheckedValue鍵值,單擊右鍵 新建——Dword值——命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏檔案”和“顯示系統檔案”。
在資料夾——工具——資料夾選項中將系統檔案和隱藏檔案設定為顯示
3、刪除病毒
在分區盤上單擊滑鼠右鍵——打開,看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個檔案,將其刪除。
4、刪除病毒的自動運行項
打開註冊表 運行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 鍵值,可能有兩個,刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的
最後到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe
重啟電腦後,發現防毒軟體可以打開,分區盤雙擊可以打開了。
前言:看到一個毒,動作非常簡單,但有一點卻算是有點創新精神的 字串7
=================================================================
字串5
sxs.exe樣本信息: 字串7
反病毒引擎 版本 最後更新 掃描結果
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 BDS/Graybird. GN.462336
Authentium 4.93.8 2007.09.15 -
Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO
AVG 7.5.0.485 2007.09.14 -
BitDefender 7.2 2007.09.15 -
CAT-QuickHeal 9.00 2007.09.14 -
ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130
DrWeb 4.33 2007.09.14 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.15 Backdoor.BlackHole.j
FileAdvisor 1 2007.09.15 -
Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr
F-Prot 4.3.2.48 2007.09.15 -
F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs
Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir
Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs
McAfee 5120 2007.09.14 BackDoor-CGX
Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T
NOD32v2 2531 2007.09.15 -
Norman 5.80.02 2007.09.14 W32/Malware.APNA
Panda 9.0.0.4 2007.09.14 Suspicious file
Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile
Rising 19.40.51.00 2007.09.15 -
Sophos 4.21.0 2007.09.15 Mal/Generic-A
Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T
Symantec 10 2007.09.15 W32.SillyFDC
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j
VirusBuster 4.3.26:9 2007.09.14 -
Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird. G N.462336
附加信息
File size: 505733 bytes
MD5: b3bc73a0649c097457099d1d8363213d
SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e
packers: BINARYRES
Prevx info: http://fileinfo.prevx.c om/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310
字串9
字串6
=================================================================
字串5
檔案改動: 字串4
創建: 字串4
C:\WINDOWS\system32\sysclient.exe
C:\WINDOWS\system\services.exe
C:\WINDOWS\winstart.dlll (注意是dlll而不是dll)
字串9
-----------------------------------------------------------------
字串5
註冊表改動:
字串7
添加:
字串2
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden Type: REG_DWORD, Length: 4, Data: 0 字串9
HKCR\.dlll Desired Access: All Access
HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_Auto_File 字串2
HKCR\dlll_Auto_File Desired Access: All Access
HKCR\dlll_Auto_File\(Default) Type: REG_SZ, Length: 2, Data:
HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access
HKCR\dlll_Auto_File Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell\open Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access
HKCR\dlll_Auto_File\shell\open\command\(Default) Type: REG_SZ, Length: 68, Data: C:\WINDOWS\system\services.exe %1 字串3
HKCR\.dlll Desired Access: All Access
HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_auto_file
字串8
HKCR\dl1_auto_file\shell\open\command Desired Access: All Access
HKCR\dl1_auto_file Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell\open Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell\open\command Desired Access: All Access
HKCR\dl1_auto_file\shell\open\command\(Default) Type: REG_SZ, Length: 62, Data: C:\WINDOWS\system\services.exe 字串4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Desired Access: All Access
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\soundman Type: REG_SZ, Length: 48, Data: C:\WINDOWS\WinStar.dlll 字串4
================================================================= 字串9
創建了新的檔案類型,把打開方式指向病毒主檔案,在run鍵值裡面直接寫入C:\WINDOWS\WinStar.dlll;
字串7
且不論這種載入方式是否高明,這個病毒是否厲害,相比於現在許許多多的使用生成器弄出來的“標準”病毒和一些用爛了的手法來說,這個東西算是有創新精神了;
字串2
當然,製作病毒始終是犯法的,取其創新精華吧。 字串7
P.S.很久沒有上傳樣本到VT檢測,今天居然發現它有中文版了,呵呵!
字串4
================================================================= 字串3
原創檔案文章,作者dikex(六翼刺蝟),轉載請註明出處;
文章地址:http://hi.baidu.c om/dikex/blog/item/102881097eddec276b60fb9d.html