网站地图
zenghuilan.com
生活小窍门 解释生活中的一切名词
sxs.exe 发布于:

sxs.exe是一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘即网络传播。

该病毒的主要危害是盗取QQ帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。

1,生成文件

%system%\SVOHOST.exe

%system%\winscok.dll

2,添加启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"SoundMam" = "%system%\SVOHOST.exe"

3,盗取方式

键盘记录,包括软键盘;将盗取的号码和密码通过邮件发送到指定邮箱。

4,传播方式

检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。

sxs.exe

autorun.inf

5,添加内容

autorun.inf添加下列内容,达到自运行的目的。

[AutoRun]

open=sxs.exe

shellexecute=sxs.exe

6,关闭窗口名为下列的应用程序

QQKav

雅虎助手

防火墙

网镖

杀毒

病毒

木马

恶意

QQAV

噬菌体

7,结束下列进程

sc.exe

net.exe

sc1.exe

net1.exe

PFW.exe

Kav.exe

KVOL.exe

KVFW.exe

TBMon.exe

kav32.exe

kvwsc.exe

CCAPP.exe

EGHOST.exe

KRegEx.exe

kavsvc.exe

VPTray.exe

RAVMON.exe

KavPFW.exe

SHSTAT.exe

RavTask.exe

TrojDie.kxp

Iparmor.exe

MAILMON.exe

MCAGENT.exe

KAVPLUS.exe

RavMonD.exe

Rtvscan.exe

Nvsvc32.exe

KVMonXP.exe

Kvsrvxp.exe

CCenter.exe

KpopMon.exe

RfwMain.exe

KWATCHUI.exe

MCVSESCN.exe

MSKAGENT.exe

kvolself.exe

KVCenter.kxp

kavstart.exe

RAVTIMER.exe

RRfwMain.exe

FireTray.exe

UpdaterUI.exe

KVSrvXp_1.exe

RavService.exe

8,删启动项

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

YLive.exe

yassistse

KAVPersonal50

NTdhcp

WinHoxt

sxs.exe病毒一般是通过U盘、移动硬盘及储存工具进行传播的。当U盘被插入被病毒感染的电脑后,病毒会首先查找U盘的根目录里有没有sxs.exe和autorun.inf这两个文件,如果没有,病毒会自动把sxs.exe和autorun.inf复制到U盘的根目录下;如果有,病毒会设置sxs.exe的属性为只读且为系统文件,以达到隐藏自身的目的,并把原有的autorun.inf删除,重新创建一个autorun.inf文件,并写入数据。

手动删除“sxs.exe病毒”方法:

在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开

1、 了解了病毒的传播方式,我们发现,可以通过在每一个盘符下放一个空白的sxs.exe文件,这样,病毒就不会复制一个真正的sxs.exe病毒到硬盘上了。

2、免疫的方法:

新建一个文本文档,不用写入任何数据,重名为:sxs.exe。把这个假的sxs.exe复制到U盘的根目录下去就可以了。这样,就不会中真的sxs.exe了。

3、免疫有效期:

目前为止,还没有发现有新的变种可以躲过此种免疫方案。

1、关闭病毒进程

Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉

2、显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1

这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)

方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

3、删除病毒

在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。

4、删除病毒的自动运行项

打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。

前言:看到一个毒,动作非常简单,但有一点却算是有点创新精神的 字串7

=================================================================

字串5

sxs.exe样本信息: 字串7

反病毒引擎 版本 最后更新 扫描结果

AhnLab-V3 2007.9.14.0 2007.09.14 -

AntiVir 7.6.0.10 2007.09.14 BDS/Graybird. GN.462336

Authentium 4.93.8 2007.09.15 -

Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO

AVG 7.5.0.485 2007.09.14 -

BitDefender 7.2 2007.09.15 -

CAT-QuickHeal 9.00 2007.09.14 -

ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130

DrWeb 4.33 2007.09.14 -

eSafe 7.0.15.0 2007.09.13 -

eTrust-Vet 31.1.5136 2007.09.14 -

Ewido 4.0 2007.09.15 Backdoor.BlackHole.j

FileAdvisor 1 2007.09.15 -

Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr

F-Prot 4.3.2.48 2007.09.15 -

F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs

Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir

Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs

McAfee 5120 2007.09.14 BackDoor-CGX

Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T

NOD32v2 2531 2007.09.15 -

Norman 5.80.02 2007.09.14 W32/Malware.APNA

Panda 9.0.0.4 2007.09.14 Suspicious file

Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile

Rising 19.40.51.00 2007.09.15 -

Sophos 4.21.0 2007.09.15 Mal/Generic-A

Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T

Symantec 10 2007.09.15 W32.SillyFDC

TheHacker 6.2.5.060 2007.09.14 -

VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j

VirusBuster 4.3.26:9 2007.09.14 -

Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird. G N.462336

附加信息

File size: 505733 bytes

MD5: b3bc73a0649c097457099d1d8363213d

SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e

packers: BINARYRES

Prevx info: http://fileinfo.prevx.c om/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310

字串9

字串6

=================================================================

字串5

文件改动: 字串4

创建: 字串4

C:\WINDOWS\system32\sysclient.exe

C:\WINDOWS\system\services.exe

C:\WINDOWS\winstart.dlll (注意是dlll而不是dll)

字串9

-----------------------------------------------------------------

字串5

注册表改动:

字串7

添加:

字串2

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden Type: REG_DWORD, Length: 4, Data: 0 字串9

HKCR\.dlll Desired Access: All Access

HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_Auto_File 字串2

HKCR\dlll_Auto_File Desired Access: All Access

HKCR\dlll_Auto_File\(Default) Type: REG_SZ, Length: 2, Data:

HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access

HKCR\dlll_Auto_File Desired Access: Maximum Allowed

HKCR\dlll_Auto_File\shell Desired Access: Maximum Allowed

HKCR\dlll_Auto_File\shell\open Desired Access: Maximum Allowed

HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access

HKCR\dlll_Auto_File\shell\open\command\(Default) Type: REG_SZ, Length: 68, Data: C:\WINDOWS\system\services.exe %1 字串3

HKCR\.dlll Desired Access: All Access

HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_auto_file

字串8

HKCR\dl1_auto_file\shell\open\command Desired Access: All Access

HKCR\dl1_auto_file Desired Access: Maximum Allowed

HKCR\dl1_auto_file\shell Desired Access: Maximum Allowed

HKCR\dl1_auto_file\shell\open Desired Access: Maximum Allowed

HKCR\dl1_auto_file\shell\open\command Desired Access: All Access

HKCR\dl1_auto_file\shell\open\command\(Default) Type: REG_SZ, Length: 62, Data: C:\WINDOWS\system\services.exe 字串4

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Desired Access: All Access

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\soundman Type: REG_SZ, Length: 48, Data: C:\WINDOWS\WinStar.dlll 字串4

================================================================= 字串9

创建了新的文件类型,把打开方式指向病毒主文件,在run键值里面直接写入C:\WINDOWS\WinStar.dlll;

字串7

且不论这种加载方式是否高明,这个病毒是否厉害,相比于现在许许多多的使用生成器弄出来的“标准”病毒和一些用烂了的手法来说,这个东西算是有创新精神了;

字串2

当然,制作病毒始终是犯法的,取其创新精华吧。 字串7

P.S.很久没有上传样本到VT检测,今天居然发现它有中文版了,呵呵!

字串4

================================================================= 字串3

原创文件文章,作者dikex(六翼刺猬),转载请注明出处;

文章地址:http://hi.baidu.c om/dikex/blog/item/102881097eddec276b60fb9d.html


相关文章推荐:
可移动磁盘 | 可移动磁盘 | 雅虎助手 | 防火墙 | 移动硬盘 | 系统文件 | 文本文档 | 系统文件 | 隐藏文件 | 系统文件 | 文件夹选项 | 系统文件 | 隐藏文件 | Authentium | eSafe |