瑞星卡卡安全论坛

SVCHOST.COM是个经移动存贮介质传播的病毒。瑞星19.33.62病毒库尚未收录此毒。

一、SVCHOST.COM运行后释放下列文件：
1、各分区根目录下的autorun.inf、SVCHOST.COM。
2、系统根目录下的DESTROY_感染_21238、DESTROY_感染_2437、DESTROY_感染_38、DESTROY_感染_7719、DESTROY_感染_8855。
3、C:\windows目录下的mjview32.com、$temp$、explorer.exe（58.2K）。正常的explorer.exe（954K）被转移到C:\windows\system\目录下了。
4、C:\windows\system\目录下的MSMOUSE.DLL
5、C:\windows\system32\目录下的cmdsys.sys、mstsc32.exe
6、SVCHOST.COM运行位置（本次为“桌面”）的$$$$$、gmon.out。

二、SRENG2.5日志可见下列异常：
启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <wjview32><C:\windows\wjview32.com /s>  [Microsoft Corporation]
==================================
Autorun.inf
[C:\]
[AutoRun]
open="SVCHOST.com /s"
shell\open=打开(&O)
shell\open\Command="SVCHOST.com /s"
shell\explore=资源管理器(&X)
shell\explore\Command="SVCHOST.com /s"
[D:\]
[AutoRun]
open="SVCHOST.com /s"
shell\open=打开(&O)
shell\open\Command="SVCHOST.com /s"
shell\explore=资源管理器(&X)
shell\explore\Command="SVCHOST.com /s"
==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 3044, C:\WINDOWS\EXPLORER.EXE]


三、用IceSwoed的手工查杀流程：

1、禁止进程创建。
2、结束下列进程：
C:\windows\wjview32.com
C:\windows\explorer.exe
C:\windows\system32\conime.exe
3、删除下列病毒文件（图）。注：$temp$需用IceSword强制删除。
4、取消IceSword的“禁止进程创建”。用SRENG删除病毒加载项wjview32
5、将C:\windows\system\目录下的explorer.exe移回C:\windows\目录。

[用户系统信息]Opera/9.10 (Windows NT 5.1; U; zh-cn)


附件: 1558472007730111621.jpg

一段时间没见猫叔了

顶，强顶。

哦,支持LZ的分析~

呵呵 顶

这里有此病毒的样本哦，呵呵
http://bbs.kafan.cn/viewthread.php?tid=113108&extra=page%3D2

顶下  学习

辛苦，受教了

呵呵，源代码删了

好久没见猫版的大作了！
这个板块，乃至整个论坛，也就猫版等位真高手的帖子还值得一看，有所教益了。
再就是佩服猫版不灌水，少有闲话，这点值得敬重。

建议8楼的朋友 把源码删除 这样是会给制造病毒的人 提供思路

很坏，很强大的病毒


很好，更强大的猫叔

猫叔加油

顶，猫叔精神值得学习~~
嘿嘿~~~

猫叔的贴,一定要来学习一下``

很好的贴子,值得学习

好！

学习

辛苦，受教了

又改思路开始玩替换流了...呃- -||病毒这东西啊……

学习~~~~预防~~辛苦~~~

终于看见猫叔了,好久没见猫叔的分析了.

顶

收到

收了收了！

已加到收藏夾,貓叔辛苦了

这病毒挺贼呀，还逃不出猫叔法眼，学习!

假的够可以

如果想要有每月1000—2000元或者更多的额外收入，如果投门无路或无聊的，你可以尝试一下这个：http://income.cctve.cn/更多的机遇在等你！是真是假你可以洞察！有意请加Q811538295

猫叔帮忙解决下我发的帖子的内容,好不,..
标题:求助  ,发起人:宁嬉皮

很好的贴子,值得学习