scvhost.exe 等病毒清除-网络安全专区

scvhost.exe 等病毒清除

作者：妖界之箭编辑：杨京京 2009-08-20 08:58 来源：IT168�

【IT168 专稿】该样本是使用“VC”编写的木马下载器，采用“UPX”加壳方式，企图躲避特征码扫描，加壳后长度为“29,696 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为下载大量病毒并运行。

用户中毒后，会出现网络缓慢、杀毒软件无故退出，出现大量未知进程、windows系统运行缓慢和无故报错等现象。

感染对象

Windows 2000/Windows XP/Windows 2003

病毒分析

    （1）运行notepad.exe，然后查找notepad窗口，关闭进程，如果运行失败，退出进程
    （2）禁用ekrn服务，结束ekrn.exe和egui.exe进程
    （3）释放动态库tete4026937t.dll，并加载，遍历进程，如果发现CCENTER.EXE，KAVStart.exe和avp.exe进程，停止进程相关服务，结束相关进程，创建大量映像劫持
    （4）释放驱动文件恢复SSDT，结束大部分安全软件进程，删除所有注册表启动项目，删除动态库文件，删除驱动文件
    （5）停止wscsvc服务，停止并禁用SharedAccess服务
    （6）释放病毒文件extext4675562t.exe并运行
    （7）设置system32和%temp%目录权限为everyone完全控制,对比路径，如果发现自己是userinit.exe，运行explorer.exe，创建互斥防止第二次运行，访问病毒统计地址，然后下载病毒，并运行，修改创建注册表实现自启动
    （8）释放驱动文件pcidump.sys，创建服务启动，修改userinit.exe，删除服务，删除驱动文件
    （9）移动自身为%SystemRoot%\system32\scvhost.exe

病毒创建文件：

    %SystemRoot%\tete4026937t.dll
    %SystemRoot%\system32\drivers\aec.sys
    %SystemRoot%\system32\drivers\AsyncMac.sys
    %SystemRoot%\extext4675562t.exe
    %SystemRoot%\system32\drivers\pcidump.sys
    %SystemRoot%\system32\scvhost.exe
　　
    病毒修改文件：
　　
    %SystemRoot%\system32\userinit.exe
　　
    病毒删除文件：

    %SystemRoot%\tete3533203t.dll
    %SystemRoot%\system32\drivers\aec.SYS
    %SystemRoot%\system32\drivers\AsyncMac.sys　　
    %SystemRoot%\system32\drivers\pcidump.sys
　　
    病毒创建注册表：

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump　
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RsTray

    病毒删除注册表：
　　
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有启动项目]
　　
    病毒访问网络：
　　
    http://caoshua**ang.4rw3.com/01/cc.asp
    http://cnt.777**t.com/host.txt

手动解决办法：

1、使用相同版本文件替换%SystemRoot%\system32\userinit.exe

2、手动删除以下文件：

    %SystemRoot%\system32\scvhost.exe
    %SystemRoot%\extext4675562t.exe
　　
    3、手动删除以下注册表值：
    键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
    键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
    键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
    键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 　　
    值：RsTray　　
    数据：%SystemRoot%\system32\scvhost.exe　

关注我们