病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
122964
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过多种方法使杀毒软件失效的盗号软件,它能盗取用户QQ的号码与密码。
1:拷贝文件
病毒运行后,会把自己拷贝到system32目录下,
并命名为svohost.exe,如下:
%system%\SVOHOST.exe
2:更改注册表
a:
病毒会在注册表中的启动项加入自己,使自己能随Windows启动。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SoundMam->%system%\SVOHOST.exe
b:
病毒会删除注册表中以下5项,这些都是安全软件的自启动项。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
3:关闭指定窗口
病毒会枚举桌面上所有的窗口,
若找到窗口名包含以下字符的窗口,
刚向该窗口发送关闭的消息。
QQKav
雅虎助手
上网助手
反间谍专家
防火墙
网镖
杀毒
病毒
木马
QQAV
4:中止指定进程
病毒会枚举系统中所有的进程,
关闭以下的进程:
PFW.exe
Kav.exe
kav32.exe
kvwsc.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
EGHOST.exe
KavPFW.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
KVSrvXp_1.exe
RavService.exe
5:禁止服务
病毒会把以下6项服务设为禁止(Disable),
这些都是常见杀毒软件的服务,
使它们不能启动
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter
RsRavMon
6:读取并发送QQ密码
病毒会通过消息钩子的方式得到QQ的号码与密码,并对号码与密码作了简单的移位加密。
之后把加密后的信息发送到木马种植都的邮箱上。