百度空间 | 百度首页 
 
查看文章
  
SCVVHSOT.exe(Worm.Win32.AutoIt.e)病毒简单分析
2008-05-18 11:11

文件名称:SCVVHSOT.exe

文件大小:671,744 bytes

AV命名:Worm.Win32.AutoIt.e(卡巴斯基)

文件MD574A28F9B4AE5687BDE6692FC21E4C8F6

病毒类型:病毒



主要行为:

1、释放文件:

C:\Windows\System32\SCVVHSOT.exe
671,744 bytes
C:\Windows\Tasks\At1.job
346 bytes

2、添加启动项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

键名为:Yahoo Messengger,指向SCVVHSOT.exe

3、修改注册表,跟随Explorer启动:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe SCVVHSOT.exe "

4、禁用注册表和任务管理器:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000001

5、连接网络,下载乱七八糟的东西(未实现):

http://nhatquanglan2.0catch.com/setting.nql
http://nhatquanglan2.0catch.com/setting.xls
http://www.freewebs.com/nhattruongquang/setting.nql
http://www.freewebs.com/nhattruongquang/setting.xls

6、添加一个计划任务:


C:\Windows\Tasks\At1.job

346字节的~~

解决方法:

1、下载Sreng。后断开网络连接。


http://www.kingzoo.com/tools/孤独更可靠/sreng2.5.zip

2、打开Sreng,它会提示


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

项被恶意修改,点确定后自动修复

3、删除Yahoo Messengger,指向SCVVHSOT.exe的。

4、重启计算机,删除文件:

C:\Windows\System32\SCVVHSOT.exe
C:\Windows\Tasks\At1.job


类别:原创(病毒分析)``` | 添加到搜藏 | 浏览() | 评论 (8)
 
最近读者:
 
网友评论:
1
2008-05-18 19:29 | 回复
过来投师 貌似好久没见到了
 
2
2008-05-18 20:40 | 回复
啊,是啊,情剑兄好久不见了~
 
3
2008-05-18 20:52 | 回复
呵呵,看见小孤了 继续学习
 
4
2008-05-19 17:09 | 回复
呵呵,好久不见了哈。
 
5
2008-05-19 18:52 | 回复
姑姑。。。
 
6
2008-05-19 18:53 | 回复
姑姑。。。
 
7
2008-05-20 08:45 | 回复
晕倒。。。
 
8
2008-06-13 20:36 | 回复
老乡见老乡
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu