简单分析SCVVHSOT.exe病毒

更新时间：2008年06月11日 20:02:03 作者：

文件名称：SCVVHSOT.exe 文件大小：671,744 bytes AV命名：Worm.Win32.AutoIt.e（卡巴斯基）文件MD5：74A28F9B4AE5687BDE6692FC21E4C8F6 病毒类型：病毒

主要行为：

1、释放文件：

C:\Windows\System32\SCVVHSOT.exe
671,744 bytes
C:\Windows\Tasks\At1.job
346 bytes

2、添加启动项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

键名为：Yahoo Messengger，指向SCVVHSOT.exe。

3、修改注册表，跟随Explorer启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe SCVVHSOT.exe "

4、禁用注册表和任务管理器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000001

5、连接网络，下载乱七八糟的东西（未实现）：

hxxp://nhatquanglan2.0catch.com/setting.nql
hxxp://nhatquanglan2.0catch.com/setting.xls
hxxp://www.freewebs.com/nhattruongquang/setting.nql
hxxp://www.freewebs.com/nhattruongquang/setting.xls

6、添加一个计划任务：

C:\Windows\Tasks\At1.job

346字节的~~

解决方法：

1、下载Sreng。后断开网络连接。

2、打开Sreng，它会提示

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

项被恶意修改，点确定后自动修复

3、删除Yahoo Messengger，指向SCVVHSOT.exe的（（详细步骤：打开SREng－启动项目－注册表））。

4、重启计算机，删除文件：

C:\Windows\System32\SCVVHSOT.exe
C:\Windows\Tasks\At1.job