SCVVHSOT.exe(Worm.Win32.AutoIt.e)病毒简单分析

文件名称： SCVVHSOT.exe

文件大小： 671,744 bytes

AV命名： Worm.Win32.AutoIt.e （卡巴斯基）

文件MD5： 74A28F9B4AE5687BDE6692FC21E4C8F6

病毒类型：病毒

主要行为：

1、释放文件：

C:\Windows\System32\SCVVHSOT.exe
671,744 bytes
C:\Windows\Tasks\At1.job
346 bytes

2、添加启动项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

键名为： Yahoo Messengger ，指向 SCVVHSOT.exe 。

3、修改注册表，跟随Explorer启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe SCVVHSOT.exe "

4、禁用注册表和任务管理器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000001

5、连接网络，下载乱七八糟的东西（未实现）：

[url]http://nhatquanglan2.0catch.com/setting.nql[/url]
[url]http://nhatquanglan2.0catch.com/setting.xls[/url]
[url]http://www.freewebs.com/nhattruongquang/setting.nql[/url]
[url]http://www.freewebs.com/nhattruongquang/setting.xls[/url]

6、添加一个计划任务：


C:\Windows\Tasks\At1.job

346 字节的 ~~

解决方法：

1、下载Sreng。后断开网络连接。


[url]http://www.kingzoo.com/tools/[/url]孤独更可靠/sreng2.5.zip

2、打开Sreng，它会提示


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

项被恶意修改，点确定后自动修复

3、删除Yahoo Messengger，指向SCVVHSOT.exe的。

4、重启计算机，删除文件：

C:\Windows\System32\SCVVHSOT.exe
C:\Windows\Tasks\At1.job