svch0st.exe

進程文件： svch0st or svch0st.exe

進程位置： 系統或windir

程序名稱： Troj_Dingxa.A網銀大盜Ⅱ或Troj.Downloader.bk

又名：密碼監視者，QQ寵物陷阱，傳奇寶貝4.0木馬病毒

程序用途： 木馬病毒 用於竊密或自動從網上下載後門的木馬病毒。

svch0st.exe(8張)

出品者： 未知N/A

屬於： N/A

系統進程： 是

使用網絡： 是

硬件相關： 否

常見錯誤： 未知N/A

內存使用： 未知N/A

間諜軟件： 是

廣告軟件： 是

Virus（病毒）: 是

木馬: 是

後台程序： 是

使用網絡： 是

硬件相關： 否

安全等級： 低

svch0st.exe和系統進程svchost.exe只差一個字符，注意svch0st.exe中的0這個是數字零，而系統進程svchost.exe中的o是字母O。

該病毒運行後在系統文件夾%System%下創建自身的副本，文件名為svch0st.exe。（其中，%System%在Windows 95/98/Me 下為C:\Windows\System，在Windows NT/2000下為C:\Winnt\System32，在Windows XP下為 C:\Windows\System32）

隨後病毒修改註冊表，以達到隨系統啓動而自動運行的目的，在

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下創建：

"svch0st.exe" = "%System%\svch0st.exe"

"taskmgr.exe" = "%System%\svch0st.exe"

病毒運行後檢查IE窗口標題欄，判定當前窗口是否為網上銀行的登陸頁面，涉及到國內多家銀行的網上交易系統。一旦發現當前IE窗口為上述銀行的登陸頁面，病毒立即開始記錄鍵盤輸入的所有鍵值，記錄的鍵值幾乎包括了所有可能的鍵盤錄入。竊取的用户信息包括網上銀行的賬號、密碼、驗證碼等。當病毒截獲被感染計算機所輸入的鍵盤值後，將其竊取到的信息發送到指定的地址。

在Windows 9x/ME系統，同時按下CTRL+ALT+DELETE，在Windows NT/2000/XP系統中，同時按下CTRL+SHIFT+ESC，選擇"任務管理器--〉進程"，選中正在運行的進程"svch0st.exe"，並終止其運行。

點擊"開始--〉運行"，輸入regedit,運行註冊表編輯器，依次雙擊左側的HKEY_LOCAL_MACHINE＞Software＞Microsoft＞Windows＞CurrentVersion＞Run ，並刪除面板右側的"svch0st.exe" = "%System%\\svch0st.exe"和 "taskmgr.exe" = "%System%\\svch0st.exe"

點擊"開始--〉查找--〉文件和文件夾"，查找文件"svch0st.exe"，並將找到的文件刪除。

根據病毒的技術特點，設置防火牆和邊界路由器的規則，阻斷病毒的入侵。

“下載者”(Troj.Downloader.bk)是一個會自動從網上下載後門的木馬病毒。該該病毒將拷貝其病毒文件到系統目錄下，命名為svch0st.exe，並改寫相關注冊表使任務管理器被禁用。該病毒在後台偷偷下載後門安裝，使用户主機受到後門病毒嚴重感染。

該病毒也是“灰鴿子變種E(Backdoor.HuiGeZi.e)”病毒，該病毒修改註冊表創建系統服務dnscacha實現自啓動，運行後，病毒會在系統目錄裏釋放病毒文件，文件名分別為“SVCH0ST.DLL”和“SVCH0ST.EXE”“SVCH0ST.bat”“SVCH0STkey.dll”“SVCH0ST_hook.dll”“Microsoft Winshell.exe”。 頻繁修改註冊表啓動項，保證下次系統啓動時，病毒可以自動運行。把“SVCH0ST.DLL”加載到系統進程explorer.exe中。由於目前該病毒採取了免殺技術，普通殺毒軟件無法查獲。

其默認屬性為隱藏，無存檔和只讀屬性。與其同一目錄還一個autorun.inf也是隻有隱藏屬性，其內容為

[AutoRun]

OPEN=svch0st.exe

shell\open=打開(&O)

shell\open\Command=svch0st.exe

shell\open\Default=1

shell\explore=資源管理器(&X)

shell\explore\Command=svch0st.exe

未運行的svch0st.exe，360和最新安天查不出來，卡巴最新可以查殺。（測試時間08.6.1，17：08）