Virus.Win32.AutoRun.cp(SVSH0ST.EXE)病毒的分析解决

　　文件名称:  SVSH0ST.EXE
　　文件大小:  25600 字节
　　MD5:  8FD4BC06C4CB4EF5963696A5E404EE32
　　加壳: UPX
　　编写语言:  Delphi
　　病毒名:  KAV: Virus.Win32.AutoRun.cp

　　详细资料:

　　文件变化:
　　释放文件
　　%System%\SVSH0ST.EXE
　　%System%\dpserio1.dll
　　%System%\autorun.inf

　　各分区根目录释放
　　X:\autorun.inf
　　X:\lcg.exe

　　autorun.inf 内容

[AutoRun]

open=lcg.exe
shell\open=打开(&O)
shell\open\Command=lcg.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=lcg.EXE

　　修改注册表:
　　病毒创建启动项

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost"="%System%\SVSH0ST.EXE"

　　修改默认IE主页为劫持的主页地址(由生成器指定)

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.XXXX.com"

　　添加项禁止修改主页

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001

　　其他行为:
　　修改 .htm 网页文件,在尾部添加(由生成器指定)

　　删除后辍为 .gho 的文件

　　访问 http://ll80.com/xx/xx.HTM 进行统计

　　注:
　　%system%代表Windows操作系统的系统文件夹路径，并非正式的系统环境变量。
　　对于操作系统版本为Windows XP,装在默认路径的系统,%system%指C:\WINDOWS\system32文件夹

　　清除方法:
　　1. 结束进程(步骤：ctrl+alt+del调用任务管理器)
%System%\SVSH0ST.EXE

　　2.删除文件(如无法直接删除，可到down.45it.com下载费尔木马强制删除器工具.zip进行强制删除)
%System%\SVSH0ST.EXE
%System%\dpserio1.dll
%System%\autorun.inf
X:\autorun.inf
X:\lcg.exe

　　3.删除病毒启动项与禁止修改IE主页项(注册表打开方式：开始菜单－运行－输入“regedit”)

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost"="%System%\SVSH0ST.EXE"

[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=

　　4. 修改IE主页(直接打开IE修改).

　　5.修复被修改的网页文件
　　备注: 此病毒为生成器所生成,在我们的博客上已经有相应报道
此生成器目前还有诸多bug

搜索

Virus.Win32.AutoRun.cp(SVSH0ST.EXE)病毒的分析解决