ravmon.exe木马病毒中毒症状:
编写语言:Microsoft Visual C++
MD5:fd20841bd2bb3e76a763f3ab172beed1
病毒名:瑞星19.15.02版尚未能查杀
主要行为:
创建文件:
%systemroot%\SVCHOST.EXE
%systemroot%\SVCHOST.INI
创建进程:
%systemroot%\SVCHOST.EXE
创建启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SVCHOST><C:\WINDOWS\SVCHOST.EXE>
实现开机自启动
修改显示隐藏文件注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue键值
使用户不能在“文件夹选项”中选择显示所有文件和文件夹。
连接
http://www.chacent.cn/download.asp
http://www.chacent.cn/update.asp
检测版本,如有新版本则下载更新(IP地址222.208.183.72,该网站目前连不上)
一旦电脑中插入移动存储介质,立即在该介质盘根目录创建
RavMon.exe
AutoRun.inf
AutoRun.inf内容:
[AutoRun]
open=RavMon.exe
shellEXEcute=RavMon.exe
shell\Auto\command=RavMon.exe
移动介质右键菜单出现“Auto”项
