svch0st.exe

進程檔案： svch0st or svch0st.exe

進程位置： 系統或windir

程式名稱： Troj_Dingxa.A網銀大盜Ⅱ或Troj.Downloader.bk

又名：密碼監視者，QQ寵物陷阱，傳奇寶貝4.0木馬病毒

程式用途： 木馬病毒 用於竊密或自動從網上下載後門的木馬病毒。

出品者： 未知N/A

屬於： N/A

系統進程： 是

使用網路： 是

硬體相關： 否

常見錯誤： 未知N/A

記憶體使用： 未知N/A

間諜軟體： 是

廣告軟體： 是

Virus（病毒）: 是

木馬: 是

後台程式： 是

使用網路： 是

硬體相關： 否

安全等級： 低

svch0st.exe和系統進程svchost.exe只差一個字元，注意svch0st.exe中的0這個是數字零，而系統進程svchost.exe中的o是字母O。

該病毒運行後在系統資料夾%System%下創建自身的副本，檔案名稱為svch0st.exe。（其中，%System%在Windows 95/98/Me 下為C:\Windows\System，在Windows NT/2000下為C:\Winnt\System32，在Windows XP下為 C:\Windows\System32）

隨後病毒修改註冊表，以達到隨系統啟動而自動運行的目的，在

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下創建：

"svch0st.exe" = "%System%\svch0st.exe"

"taskmgr.exe" = "%System%\svch0st.exe"

病毒運行後檢查IE視窗標題欄，判定當前視窗是否為網上銀行的登入頁面，涉及到國內多家銀行的網上交易系統。一旦發現當前IE視窗為上述銀行的登入頁面，病毒立即開始記錄鍵盤輸入的所有鍵值，記錄的鍵值幾乎包括了所有可能的鍵盤錄入。竊取的用戶信息包括網上銀行的帳號、密碼、驗證碼等。當病毒截獲被感染計算機所輸入的鍵盤值後，將其竊取到的信息傳送到指定的地址。

在Windows 9x/ME系統，同時按下CTRL+ALT+DELETE，在Windows NT/2000/XP系統中，同時按下CTRL+SHIFT+ESC，選擇"任務管理器--〉進程"，選中正在運行的進程"svch0st.exe"，並終止其運行。

點擊"開始--〉運行"，輸入regedit,運行註冊表編輯器，依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，並刪除面板右側的"svch0st.exe" = "%System%\\svch0st.exe"和 "taskmgr.exe" = "%System%\\svch0st.exe"

點擊"開始--〉查找--〉檔案和資料夾"，查找檔案"svch0st.exe"，並將找到的檔案刪除。

根據病毒的技術特點，設定防火牆和邊界路由器的規則，阻斷病毒的入侵。

“下載者”(Troj.Downloader.bk)是一個會自動從網上下載後門的木馬病毒。該該病毒將拷貝其病毒檔案到系統目錄下，命名為svch0st.exe，並改寫相關註冊表使任務管理器被禁用。該病毒在後台偷偷下載後門安裝，使用戶主機受到後門病毒嚴重感染。

該病毒也是“灰鴿子變種E(Backdoor.HuiGeZi.e)”病毒，該病毒修改註冊表創建系統服務dnscacha實現自啟動，運行後，病毒會在系統目錄里釋放病毒檔案，檔案名稱分別為“SVCH0ST.DLL”和“SVCH0ST.EXE”“SVCH0ST.bat”“SVCH0STkey.dll”“SVCH0ST_hook.dll”“Microsoft Winshell.exe”。 頻繁修改註冊表啟動項，保證下次系統啟動時，病毒可以自動運行。把“SVCH0ST.DLL”載入到系統進程explorer.exe中。由於目前該病毒採取了免殺技術，普通防毒軟體無法查獲。

其默認屬性為隱藏，無存檔和唯讀屬性。與其同一目錄還一個autorun.inf也是只有隱藏屬性，其內容為

[AutoRun]

OPEN=svch0st.exe

shell\open=打開(&O)

shell\open\Command=svch0st.exe

shell\open\Default=1

shell\explore=資源管理器(&X)

shell\explore\Command=svch0st.exe

未運行的svch0st.exe，360和最新安天查不出來，卡巴最新可以查殺。（測試時間08.6.1，17：08）