svkp.sys 是不是病毒？

nysalt

今天用AUTO病毒清理工具扫描时，发现了SVKP.SYS这个文件，提示说是灰鸽子后门病毒，在网上找了相关的资料，不过没有专业的解释和处理办法，所以就来这里问一下各位大大，谢谢！！

kuririn

這支有 SVKP.sys

shuipao

http://www.virscan.org/  建议自己传到多引擎网站扫描一下。

huxiqiuzhen

首先,可以非常肯定的说,这是个病毒.下面是一个典型资料,可以参考~


原创]病毒分析报告：msnsnetranten.dll、SVKP.sys2007-03-14 00:40谢谢好友地狱幽灵提供样本，好友小G的参与分析。


病毒名称：

卡巴：backdoor.win32.hupigon.elp         金山：未知

病毒大小：  831,588 字节

加壳方式：未知（估计应该是aspack加壳后多番修改的）

效验密文：

SHA-160     : E74F19945CFE6AF31BDC60888AB6B6B2270B8052

MD5         : 7B002FB6486CD0680B206C32E314AF27

RIPEMD-160 : 10F48FB0CD2BCCA348B4BC2F015D5FBF439074C0

CRC-32      : 02A62018


测试平台：win2000PROSP4+VM


病毒分析：

起初好友地狱幽灵拿来的是dll程序的样本，经过和小G的N次用rundll32命令运行后没有看到病毒运行，怀着好奇的心态用OD载入发现没有调用loaddll.exe，感觉程序非dll程序，用reshacher打开程序后，发现病毒图标为熊猫烧香的图标，狂汗……ing……，于是把这个病毒的后缀名改为exe后图标出来了，见图：



在虚拟机中运行这个伪熊猫后发现会释放msnsnetranten.dll、SVKP.sys两个文件，msnsnetranten.dll注册为服务，如下：

服务名：MS Software Shadow Copy Provid

服务路径：C:\Program Files\Messenger\ msnsnetranten.dll

服务类型：自动

创建时间：当前

服务描述：管理卷影复制服务拍摄的软件卷影复制。如果该服务被停止，软件卷影复制将无法管理。如果该服务被停用，任何

创建驱动程序进行rootkit，隐藏IE进程尝试黑客远程控制动作，如图：



注册表项：

新建项：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MS_SOFTWARE_SHADOW_COPY_PROVID\

PS：rootkit服务

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\

PS：驱动启动项

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\

PS：rootkit驱动

病毒查杀：

首先保存好所有该保存的数据，之后：

使用sc使用“仅结束指定进程”结束隐藏的IE进程，见图：



然后切换到服务里面使用“删除服务及文件”删除服务和驱动见图：



使用冰刃删除以上注册表项（务必要删除，不然会造成开机卡死）杀毒完毕，这时关机或计算机运行中有可能会蓝屏，reset重启后病毒就彻底清除了。



原创文章，转载请注明文章作者：孤单每一天

文章地址：http://hi.baidu.com/renlangliu/b ... 5b4ffafbed50f1.html

SC和冰刃请到我的网盘自行下载：http://renlangliu.5upan.com/

再次谢谢好友地狱幽灵提供的病毒样本和小G的探讨分析。


资料来源: http://hi.baidu.com/renlangliu/b ... 5b4ffafbed50f1.html

chenrui19930

这个是使用SVKP加花后的脱壳文件

nysalt

非常感谢各位朋友，已经清除了这个SVKP.SYS文件。