科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道清除Win32.Troj.Unknown.a.412826病毒

清除Win32.Troj.Unknown.a.412826病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这不最近网络中出现的Win32.Troj.Unknown.a.412826(Kvmon.exe)病毒,虽然病毒源体不大,但却足以让网民用户深感不安,其危害的能力,可以让恶意用户进行远程控制被感染的电脑。

作者:往事如风 来源:IT168 2008年10月10日

关键字: 病毒清除 防病毒

  • 评论
  • 分享微博
  • 分享邮件

  如今的病毒是越来越善变,使得用户一不留神即掉入其危害之门。这不最近网络中出现的Win32.Troj.Unknown.a.412826(Kvmon.exe)病毒,虽然病毒源体不大,但却足以让网民用户深感不安,其危害的能力,可以让恶意用户进行远程控制被感染的电脑,从而使得受害机中的资料泄密。

  病毒分析

  该病毒文件名称为Kvmon.exe,文其大小为412829字节,在所杀毒软件中的命名如下:金山毒霸(Win32.Troj.Unknown.a.412826)、AVG(Generic9.AQHK)、安博士V3(Win-Trojan/Hupigon.Gen)该病毒属于远程控制类型的病毒,用户计算机中如果一但感染此病毒,那么该病毒会在被感染的操作系统平台的C盘WINDOWS下生存361984字节的Kvmon.dll动态链接库文件和412829字节的Kvmon.exe可执行文件。随后将会修改如下注册表项以达病毒开机自启动的目的,如下:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  (注册表值) Userinit

  REG_SZ, "C:\WINDOWS\system32\userinit.exe,"

  修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini

  然后启动IE进程,并把Kvmon.dll注入其中,最后会另行添加注册表并读取下述注册表键,实现反弹连接外部,接受黑客控制,其键值如下:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

  (注册表值) Beizhu = REG_SZ, "上线"

  (注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>

  上线>远程上线主机>25>0>1080>guest>123456>"

  当病毒完成全部释放后,原体开始调用cmd.exe程序,开始删除旧文件。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章