SVCHOST.COM及“假explorer.exe”

警惕偷梁换柱的把戏——关于SVCHOST.COM及“假explorer.exe”

样本地址
http://bbs.janmeng.com/viewthrea ... &extra=page%3D1

SVCHOST.COM是个经移动存贮介质传播的病毒。瑞星19.33.62病毒库尚未收录此毒。

一、SVCHOST.COM运行后释放下列文件：
1、各分区根目录下的autorun.inf、SVCHOST.COM。
2、系统根目录下的DESTROY_感染_21238、DESTROY_感染_2437、DESTROY_感染_38、DESTROY_感染_7719、DESTROY_感染_8855。
3、C:\windows目录下的mjview32.com、$temp$、explorer.exe（58.2K）。正常的explorer.exe（954K）被转移到C:\windows\system\目录下了。
4、C:\windows\system\目录下的MSMOUSE.DLL
5、C:\windows\system32\目录下的cmdsys.sys、mstsc32.exe
6、SVCHOST.COM运行位置（本次为“桌面”）的$$$$$、gmon.out。

二、SRENG2.5日志可见下列异常：
启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run]
    ＜wjview32＞＜C:\windows\wjview32.com /s＞
 [Microsoft Corporation]
==================================
Autorun.inf
[C:\]
[AutoRun]
open="SVCHOST.com /s"
shell\open=打开(&O)
shell\open\Command="SVCHOST.com /s"
shell\explore=资源管理器(&X)
shell\explore\Command="SVCHOST.com /s"
[D:\]
[AutoRun]
open="SVCHOST.com /s"
shell\open=打开(&O)
shell\open\Command="SVCHOST.com /s"
shell\explore=资源管理器(&X)
shell\explore\Command="SVCHOST.com /s"
==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege
 [PID = 3044, C:\WINDOWS\EXPLORER.EXE]

三、用IceSwoed的手工查杀流程：

1、禁止进程创建。
2、结束下列进程：
C:\windows\wjview32.com
C:\windows\explorer.exe
C:\windows\system32\conime.exe
3、删除下列病毒文件（图）。注：$temp$需用IceSword强制删除。
4、取消IceSword的“禁止进程创建”。用SRENG删除病毒加载项wjview32
5、将C:\windows\system\目录下的explorer.exe移回C:\windows\目录。