快捷導(dǎo)航

簡(jiǎn)單分析SCVVHSOT.exe病毒

更新時(shí)間：2008年06月11日 20:02:03 作者：

文件名稱：SCVVHSOT.exe 文件大?。?71,744 bytes AV命名：Worm.Win32.AutoIt.e（卡巴斯基）文件MD5：74A28F9B4AE5687BDE6692FC21E4C8F6 病毒類型：病毒

主要行為：

1、釋放文件：

C:\Windows\System32\SCVVHSOT.exe
671,744 bytes
C:\Windows\Tasks\At1.job
346 bytes

2、添加啟動(dòng)項(xiàng)：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

鍵名為：Yahoo Messengger，指向SCVVHSOT.exe。

3、修改注冊(cè)表，跟隨Explorer啟動(dòng)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe SCVVHSOT.exe "

4、禁用注冊(cè)表和任務(wù)管理器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000001

5、連接網(wǎng)絡(luò)，下載亂七八糟的東西（未實(shí)現(xiàn)）：

hxxp://nhatquanglan2.0catch.com/setting.nql
hxxp://nhatquanglan2.0catch.com/setting.xls
hxxp://www.freewebs.com/nhattruongquang/setting.nql
hxxp://www.freewebs.com/nhattruongquang/setting.xls

6、添加一個(gè)計(jì)劃任務(wù)：

C:\Windows\Tasks\At1.job

346字節(jié)的~~

解決方法：

1、下載Sreng。后斷開(kāi)網(wǎng)絡(luò)連接。

2、打開(kāi)Sreng，它會(huì)提示

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

項(xiàng)被惡意修改，點(diǎn)確定后自動(dòng)修復(fù)

3、刪除Yahoo Messengger，指向SCVVHSOT.exe的（（詳細(xì)步驟：打開(kāi)SREng－啟動(dòng)項(xiàng)目－注冊(cè)表））。

4、重啟計(jì)算機(jī)，刪除文件：

C:\Windows\System32\SCVVHSOT.exe
C:\Windows\Tasks\At1.job