查看完整版本: “AV终结者”简介与专杀工具

“AV终结者”简介与专杀工具

<!-- Google广告代码 -->　　<STRONG>一、病毒简介</STRONG><BR>　　近日，被称为“安全杀手”的“AV终结者”开始表现出它的超强破坏力，用户一旦受感染，将会丧失全部的拯救能力。<BR>　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：<BR>　　1、禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；<BR>　　2、破坏安全模式，致使用户根本无法进入安全模式清除病毒；<BR>　　3、强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；<BR>　　4、格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。<BR>　　但是，“AV终结者”的可恶行径并没有就此结束，它会自动连接到某网站，大量下载木马病毒和流氓软件。<BR>　　<STRONG>二、病毒分析</STRONG><BR>　　1.生成文件<BR>　　%programfiles%\Common&nbsp;Files\Microsoft&nbsp;Shared\MSInfo\{随机8位字母+数字名字}.dat<BR>　　%programfiles%\Common&nbsp;Files\Microsoft&nbsp;Shared\MSInfo\{随机8位字母+数字名字}.dll<BR>　　%windir%\{随机8位字母+数字名字}.hlp<BR>　　%windir%\Help\{随机8位字母+数字名字}.chm<BR>　　也有可能生成如下文件<BR>　　%sys32dir%\{随机字母}.exe<BR>　　替换%sys32dir%\verclsid.exe文件<BR>　　2.生成以下注册表项来达到使病毒随系统启动而启动的目的<BR>　　HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32&nbsp;"病毒文件全路径"&nbsp;&nbsp;<BR>　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID"&nbsp;"病毒文件全路径"&nbsp;&nbsp;<BR>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\<BR>ShellExecuteHooks&nbsp;"生成的随机CLSID"&nbsp;""<BR>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run&nbsp;<BR>"随机字符串"&nbsp;"病毒文件全路径"<BR>　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc&nbsp;Start&nbsp;<BR>dword:00000004<BR>　　3.映像劫持<BR>　　通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows&nbsp;NT\CurrentVersion\<BR>Image&nbsp;File&nbsp;Execution&nbsp;Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。<BR>　　被劫持的软件包括：<BR>　　360rpt.exe;<BR>　　360Safe.exe;<BR>　　360tray.exe;<BR>　　adam.exe;<BR>　　AgentSvr.exe;<BR>　　AppSvc32.exe;<BR>　　autoruns.exe;<BR>　　avgrssvc.exe;<BR>　　AvMonitor.exe;<BR>　　avp.com;<BR>　　avp.exe;<BR>　　CCenter.exe;<BR>　　ccSvcHst.exe;<BR>　　FileDsty.exe;<BR>　　FTCleanerShell.exe;<BR>　　HijackThis.exe;<BR>　　IceSword.exe;<BR>　　iparmo.exe;<BR>　　Iparmor.exe;<BR>　　isPwdSvc.exe;<BR>　　kabaload.exe;<BR>　　KaScrScn.SCR;<BR>　　KASMain.exe;<BR>　　KASTask.exe;<BR>　　KAV32.exe;<BR>　　KAVDX.exe;<BR>　　KAVPFW.exe;<BR>　　KAVSetup.exe;<BR>　　KAVStart.exe;<BR>　　KISLnchr.exe;<BR>　　KMailMon.exe;<BR>　　KMFilter.exe;<BR>　　KPFW32.exe;<BR>　　KPFW32X.exe;<BR>　　KPFWSvc.exe;<BR>　　KRegEx.exe;<BR>　　KRepair.COM;<BR>　　KsLoader.exe;<BR>　　KVCenter.kxp;<BR>　　KvDetect.exe;<BR>　　KvfwMcl.exe;<BR>　　KVMonXP.kxp;<BR>　　KVMonXP_1.kxp;<BR>　　kvol.exe;<BR>　　kvolself.exe;<BR>　　KvReport.kxp;<BR>　　KVScan.kxp;<BR>　　KVSrvXP.exe;<BR>　　…………<BR>　　4.修改以下注册表，导致无法显示隐藏文件<BR>　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\<BR>Advanced&nbsp;Hidden&nbsp;dword:00000002<BR>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\<BR>Advanced\Folder\Hidden\SHOWALL&nbsp;CheckedValue&nbsp;dword:00000000<BR>　　5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙<BR>　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<BR>SharedAccess&nbsp;Start&nbsp;dword:00000004<BR>　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<BR>wuauserv&nbsp;Start&nbsp;dword:00000004<BR>　　6.删除以下注册表项，使用户无法进入安全模式<BR>　　HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\<BR>{4D36E967-E325-11CE-BFC1-08002BE10318}<BR>　　HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\<BR>{4D36E967-E325-11CE-BFC1-08002BE10318}<BR>　　7.连接网络下载病毒<BR>　　hxxp://www.webxxx.com/xxx.exe<BR>　　8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀<BR>　　9.尝试关闭包含以下关键字窗口<BR>　　Anti<BR>　　AgentSvr<BR>　　CCenter<BR>　　Rsaupd<BR>　　SmartUp<BR>　　FileDsty<BR>　　RegClean<BR>　　360tray<BR>　　…………<BR>　　ikaka<BR>　　duba<BR>　　kingsoft<BR>　　木马<BR>　　社区<BR>　　aswBoot<BR>　　…………<BR>　　10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。<BR>　　11.隐藏病毒进程，但是可以通过结束桌面进程显示出来。<BR>　　12.在硬盘分区生成文件：autorun.inf&nbsp;和&nbsp;随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。<BR>　　<STRONG>三、防范及专杀工具</STRONG><BR>　　用户在正常运行的电脑上尽量不要使用自动播放功能，以避免通过插入U盘、移动硬盘等造成病毒感染。同时，应及时更新杀毒软件，开启在线监控功能和防火墙。<BR>　　<STRONG><SPAN style="COLOR: red">专杀工具：</SPAN></STRONG><IMG style="MARGIN: 0px 2px -4px 0px" alt=下载文件 src="http://www.itgao.com/html/2007-06/../../upload/070613113050771.gif"> 点击下载此文件<br/><br/>