AV终结者病毒大全及防范

AV终结病毒大全及防范

AV终结者 的症状及破坏性:

6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。

戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

1、禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；

2、破坏安全模式，致使用户根本无法进入安全模式清除病毒；

3、强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；

4、格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

AV终结者 最新专杀下载:

“AV终结者”木马专杀工具-金山专杀: http://zhuansha.duba.net/259.shtml

绿色网下载地址-木蚂蚁: http://soft.mumayi.net/downinfo/6163.html



症状分析:

一、病毒简介

近日，被称为“安全杀手”的“AV终结者”开始表现出它的超强破坏力，用户一旦受感染，将会丧失全部的拯救能力。
金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：
1、禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；
2、破坏安全模式，致使用户根本无法进入安全模式清除病毒；
3、强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；
4、格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。
但是，“AV终结者”的可恶行径并没有就此结束，它会自动连接到某网站，大量下载木马病毒和流氓软件。

二、病毒分析

1.生成文件

%programfiles%/Common Files/Microsoft Shared/MSInfo/{随机8位字母+数字名字}.dat
%programfiles%/Common Files/Microsoft Shared/MSInfo/{随机8位字母+数字名字}.dll
%windir%/{随机8位字母+数字名字}.hlp
%windir%/Help/{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%/{随机字母}.exe
替换%sys32dir%/verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的

HKEY_CLASSES_ROOT/CLSID/"随机CLSID"//InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wscsvc Start
dword:00000004

3.映像劫持

通过在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
Image File Execution Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。
被劫持的软件包括：
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………

4.修改以下注册表，导致无法显示隐藏文件
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/
Advanced/Folder/Hidden/SHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/
wuauserv Start dword:00000004

6.删除以下注册表项，使用户无法进入安全模式
HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/
{4D36E967-E325-11CE-BFC1-08002BE10318}

7.连接网络下载病毒

hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含以下关键字窗口

Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木马
社区
aswBoot
…………

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

11.隐藏病毒进程，但是可以通过结束桌面进程显示出来。

12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

三、防范及专杀工具

用户在正常运行的电脑上尽量不要使用自动播放功能，以避免通过插入U盘、移动硬盘等造成病毒感染。同时，应及时更新杀毒软件，开启在线监控功能和防火墙。

具体防范和专杀看此blog另外两篇文章：

AV终结者金山专杀 http://yahooi.blog.edu.cn/user4/yahooi/archives/2007/1771457.shtml

AV终结者系统补丁下载 http://yahooi.blog.edu.cn/user4/yahooi/archives/2007/1771436.shtml