應用程序
svch0st.exe和系統進程svchost.exe只差一個字符,注意svch0st.exe中的0這個是數字零,而系統進程svchost.exe中的o是字母O。
該病毒運行后在系統文件夾%System%下創建自身的副本,文件名為svch0st.exe。(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\system32,在Windows XP下為 C:\Windows\System32)
隨后病毒修改注冊表,以達到隨系統啟動而自動運行的目的,在
HKEY_CURRENT_USER\SOFTWARE\微軟\Windows\Current Version\Run下創建:
"svch0st.exe" = "%System%\svch0st.exe"
"taskmgr.exe" = "%System%\svch0st.exe"
病毒
病毒運行后檢查IE窗口標題欄,判定當前窗口是否為網上銀行的登陸頁面,涉及到國內多家銀行的網上交易系統。一旦發現當前IE窗口為上述銀行的登陸頁面,病毒立即開始記錄鍵盤輸入的所有鍵值,記錄的鍵值幾乎包括了所有可能的鍵盤錄入。竊取的用戶信息包括網上銀行的帳號、密碼、驗證碼等。當病毒截獲被感染計算機所輸入的鍵盤值后,將其竊取到的信息發送到指定的地址。
清除方法
關閉系統還原,開始-運行:msconfig (運行系統配置程序)。
在啟動項中取消"svch0st.exe" = "%System%\svch0st.exe"和 "taskmgr.exe" = "%System%\svch0st.exe" 兩項前面的勾。
打開任務管理器終止svch0st.exe,要看清楚不要弄錯了。
運行系統搜索功能,并打開高級選項,查找隱藏的文件,查找svch0st.exe并刪除。
參考資料 >