今天接到一个新的AV终结者,使用瑞星扫描,没有报发现病毒。所以可能是个新变种,于是测试了一下。以前写得比较多了,这回简要的写一下
File: jqhpupl.exe
Size: 20530 bytes
MD5: C517FFE9296DCCF4D866C7AEF12096AA
SHA1: EDAEB6FE36711D13444B9EC49A0566B7A4BC3B82
CRC32: B1300417
生成如下文件:
C:\WINDOWS\system32\cgxusmp.exe(随机7位字母)
C:\WINDOWS\system32\meex.com
C:\WINDOWS\system32\nfamvjc.exe(随机7位字母)
以前一般在%program files%下面 现在变了 AV终结者搬家了?
在各个盘根目录下 生成autorun.inf和一个随机7位字母的exe
通过net.exe的命令 结束sharedaccess服务
然后通过sc 命令把其服务的启动类型改为disabled
添加映像劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
......
等劫持常见的杀毒软件和安全工具
删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 破坏显示隐藏文件
结束如下进程:
avp.com
avp.exe
runiep.exe
PFW.exe
rfwmain.exe
rfwsrv.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Ravmon.exe
IceSword.exe
360rpt.exe
......
等常见的杀毒软件和安全工具进程
向卡巴斯基杀毒软件的主动防御警报和瑞星注册表监控发送允许的消息
清除办法参考原来的文章即可 也可以下载金山毒霸的AV终结者专杀全盘杀毒 这个专杀效果一直不错 且可以自动修复被破坏的系统
今天发现的这个变种已经和原先的有所不同 病毒生成的位置已经在%system32%下面
且去掉了监控“杀毒”等字样的窗口功能,没见到对安全模式的破坏 而且病毒体内有URLdownloadtoFileA这样的函数,但行为中却没见到下载木马
好像病毒这样的变化显得他“仁慈”了 不这么“黑”了 但我们更不能掉以轻心,相反,从这样的信息中我们可以猜测到AV终结者生成器可能已经开始在网络中流行,并且应该可以自我定制各种功能,比如生成文件的位置,下载的木马的地址,对系统的破坏功能,病毒生成器可以让人自由选择对系统的什么功能进行破坏,所以可以预见到未来的一段时间内,AV终结者还将继续,并且可能演变出更多的变种来。
所以我们一定不能掉以轻心
防范此类病毒的办法其实还是那几点
1.及时升级杀毒软件和防火墙,打好系统补丁
2.关闭系统的自动播放功能
3.对于外来的U盘一定不要双击打开,也不要右键打开,要从资源管理器的列表中(开始>所有程序>附件>Windows资源管理器)中打开,查看其根目录下有无autorun.inf这样的文件 如果有那么多半该U盘是有病毒的,并请慎重打开里面的文件
希望大家要增加防范意识,不让AV终结者这种恶性病毒再这么猖獗下去!
| 
