【IT168 专稿】如今的病毒是越来越善变，使得用户一不留神即掉入其危害之门。这不最近网络中出现的Win32.Troj.Unknown.a.412826（Kvmon.exe）病毒，虽然病毒源体不大，但却足以让网民用户深感不安，其危害的能力，可以让恶意用户进行远程控制被感染的电脑，从而使得受害机中的资料泄密。

    病毒分析
    该病毒文件名称为Kvmon.exe，文其大小为412829字节，在所杀毒软件中的命名如下：金山毒霸（Win32.Troj.Unknown.a.412826）、AVG（Generic9.AQHK）、安博士V3（Win-Trojan/Hupigon.Gen）该病毒属于远程控制类型的病毒，用户计算机中如果一但感染此病毒，那么该病毒会在被感染的操作系统平台的C盘WINDOWS下生存361984字节的Kvmon.dll动态链接库文件和412829字节的Kvmon.exe可执行文件。随后将会修改如下注册表项以达病毒开机自启动的目的，如下：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    (注册表值) Userinit
    REG_SZ, "C:\WINDOWS\system32\userinit.exe,"
    修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini

    然后启动IE进程，并把Kvmon.dll注入其中，最后会另行添加注册表并读取下述注册表键，实现反弹连接外部，接受黑客控制，其键值如下：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
    (注册表值) Beizhu = REG_SZ, "上线"
    (注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>
    上线>远程上线主机>25>0>1080>guest>123456>"

    当病毒完成全部释放后，原体开始调用cmd.exe程序，开始删除旧文件。

    清除方法
    其解决的方法也很简单，首先打开被感染操作系统的任务管理器，结束可见的IE进程（iexplore.exe），断开网络连接；然后在开始运行项里输入regedit.exe 打开注册表，并将其定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (注册表值) Userinit点击修改，将其修改为：C:\WINDOWS\system32\userinit.exe，（小提示：此处逗号不能省略，如果是2000/NT系统的话，则是：C:\WINnt\system32\userinit.exe,）；随后删除位于C盘WINDOWS目录下的Kvmon.dll与Kvmon.exe文件即可。

    安全建议
    用户在清除完成病毒后，应立即加固系统安全打入补丁，并升级当前所用杀软的病毒库，在使用U盘、mp3等第三方存储设备前应先进行病毒扫描，要养成打开任意磁盘设备时使用右击的良好习惯，以防激活未知病毒。这里建议各计算机操作者，及时为系统打入补丁并将系统中的杀毒软件升级到当天数据更新库，打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机（此处可依本机具体需求而定），并要建立良好的安全习惯不要随意浏览不良网站下载安装可疑插件，要不定期对硬盘进行全盘扫描杀毒，要将系统中的重要数据、密码放入到第三方安全软件保护之下，如网络银行、网络游戏等。有经验的用户还可以对本机进行相关策略设置，如：利用端口策略功能，封住各种计算机远程控制端口与木马通道，并通过在运行菜单中输入gpedit.msc命令调出组策略菜单，在其中进行相关的管理员帐号、密码设置及各式安全管理设置，然后可对各分区需求采用NTFS格式，以加固本机安全降低危害风险。

    编者按：遇到病毒、木马并不可怕，不同的病毒杀法也不尽相同，作为网络用户应时刻保持警惕，即时打开防火墙及各类监控，并随时了解病毒最新信息与杀法即可在第一时间将流行病毒抵御在系统之外。以免让恶意用户利用远程控制软件进行系统数据监控与远程控制的操作，从而实现机密数据不外泄的安全问题。