sxs.exe

王朝百科·作者佚名 2010-01-10

sxs.exe病毒的免疫

sxs.exe病毒一般是通过U盘进行传播的。当U盘被插入被病毒感染的电脑后，病毒会首先查找U盘的根目录里有没有sxs.exe和autorun.inf这两个文件，如果没有，病毒会自动把sxs.exe和autorun.inf复制到U盘的根目录下；如果有，病毒会设置sxs.exe的属性为只读且为系统文件，以达到隐藏自身的目的，并把原有的autorun.inf删除，重新创建一个autorun.inf文件，并写入数据。

Sxs.exe病毒的查杀

手动删除“sxs.exe病毒”方法：

在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开

方法一

1、了解了病毒的传播方式，我们发现，可以通过在每一个盘符下放一个空白的sxs.exe文件，这样，病毒就不会复制一个真正的sxs.exe病毒到硬盘上了。

2、免疫的方法：

新建一个文本文档，不用写入任何数据，重名为：sxs.exe。把这个假的sxs.exe复制到U盘的根目录下去就可以了。这样，就不会中真的sxs.exe了。

3、免疫有效期：

目前为止，还没有发现有新的变种可以躲过此种免疫方案。

方法二

1、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉

2、显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

3、删除病毒

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

4、删除病毒的自动运行项

打开注册表运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\WINDOWSsystem32SVOHOST.exe 的

最后到 C:\WINDOWSsystem32 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

前言：看到一个毒，动作非常简单，但有一点却算是有点创新精神的字串7

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

字串5

sxs.exe样本信息：字串7

反病毒引擎版本最后更新扫描结果

AhnLab-V3 2007.9.14.0 2007.09.14 -

AntiVir 7.6.0.10 2007.09.14 BDS/Graybird.GN.462336

Authentium 4.93.8 2007.09.15 -

Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO

AVG 7.5.0.485 2007.09.14 -

BitDefender 7.2 2007.09.15 -

CAT-QuickHeal 9.00 2007.09.14 -

ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130

DrWeb 4.33 2007.09.14 -

eSafe 7.0.15.0 2007.09.13 -

eTrust-Vet 31.1.5136 2007.09.14 -

Ewido 4.0 2007.09.15 Backdoor.BlackHole.j

FileAdvisor 1 2007.09.15 -

Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr

F-Prot 4.3.2.48 2007.09.15 -

F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs

Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir

Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs

McAfee 5120 2007.09.14 BackDoor-CGX

Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T

NOD32v2 2531 2007.09.15 -

Norman 5.80.02 2007.09.14 W32/Malware.APNA

Panda 9.0.0.4 2007.09.14 Suspicious file

Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile

Rising 19.40.51.00 2007.09.15 -

Sophos 4.21.0 2007.09.15 Mal/Generic-A

Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T

Symantec 10 2007.09.15 W32.SillyFDC

TheHacker 6.2.5.060 2007.09.14 -

VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j

VirusBuster 4.3.26:9 2007.09.14 -

Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird.GN.462336

附加信息

File size: 505733 bytes

MD5: b3bc73a0649c097457099d1d8363213d

SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e

packers: BINARYRES

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310

字串9

字串6

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

字串5

文件改动：字串4

创建：字串4

C:WINDOWSsystem32sysclient.exe

C:WINDOWSsystemservices.exe

C:WINDOWSwinstart.dlll (注意是dlll而不是dll)

字串9

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

字串5

注册表改动：

字串7

添加：

字串2

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden Type: REG_DWORD, Length: 4, Data: 0 字串9

HKCR.dlll Desired Access: All Access

HKCR.dlll(Default) Type: REG_SZ, Length: 30, Data: dlll_Auto_File 字串2

HKCRdlll_Auto_File Desired Access: All Access

HKCRdlll_Auto_File(Default) Type: REG_SZ, Length: 2, Data:

HKCRdlll_Auto_Fileshellopencommand Desired Access: All Access

HKCRdlll_Auto_File Desired Access: Maximum Allowed

HKCRdlll_Auto_Fileshell Desired Access: Maximum Allowed

HKCRdlll_Auto_Fileshellopen Desired Access: Maximum Allowed

HKCRdlll_Auto_Fileshellopencommand Desired Access: All Access

HKCRdlll_Auto_Fileshellopencommand(Default) Type: REG_SZ, Length: 68, Data: C:WINDOWSsystemservices.exe %1 字串3

HKCR.dlll Desired Access: All Access

HKCR.dlll(Default) Type: REG_SZ, Length: 30, Data: dlll_auto_file

字串8

HKCRdl1_auto_fileshellopencommand Desired Access: All Access

HKCRdl1_auto_file Desired Access: Maximum Allowed

HKCRdl1_auto_fileshell Desired Access: Maximum Allowed

HKCRdl1_auto_fileshellopen Desired Access: Maximum Allowed

HKCRdl1_auto_fileshellopencommand Desired Access: All Access

HKCRdl1_auto_fileshellopencommand(Default) Type: REG_SZ, Length: 62, Data: C:WINDOWSsystemservices.exe 字串4

HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun Desired Access: All Access

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunsoundman Type: REG_SZ, Length: 48, Data: C:WINDOWSWinStar.dlll 字串4

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝字串9

创建了新的文件类型，把打开方式指向病毒主文件，在run键值里面直接写入C:WINDOWSWinStar.dlll；

字串7

且不论这种加载方式是否高明，这个病毒是否厉害，相比于现在许许多多的使用生成器弄出来的“标准”病毒和一些用烂了的手法来说，这个东西算是有创新精神了；

字串2

当然，制作病毒始终是犯法的，取其创新精华吧。字串7

P.S.很久没有上传样本到VT检测，今天居然发现它有中文版了，呵呵！

字串4

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝字串3

原创文件文章，作者dikex（六翼刺猬），转载请注明出处；

文章地址：http://hi.baidu.com/dikex/blog/item/102881097eddec276b60fb9d.html