|
|
|
| |
| 首页>>新闻频道>>电脑网络>>对专门破坏杀毒软件的病毒AV终结者的深层次分析 |
对专门破坏杀毒软件的病毒AV终结者的深层次分析
我最近中了AV终结者,苦不堪言,正一筹莫展之际,来到了金山毒霸铁军的blog,看到了这篇深层次的分析文章,真是及时雨啊,问题迅速解决了?。在这里谢谢金山毒霸。最近破坏杀毒软件的AV终结者闹的厉害,我把这篇好文转给大家,我为人人,人人为我^_^。
今天刚得到的新消息,中国证券网挂马了。我们从那个站抓到个新病毒。
分析报告在这里http://vi.duba.net/index.php?CODE=02&virusid=38990&action=viewgraph
有关AV终结者病毒的相关参考信息,大家可以在这个地址仔细看,
http://hi.baidu.com/litiejun/blog/item/38fc223b17282eeb14cecb62.html
算了,为了方便大家,我还是把地址文章贴出来吧,在帖子的后面? 我为人人,人人为我~?
AV终结者分析报告:这个病毒就是有网友提到的8位随机文件名的病毒程序。该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播;病毒还会关闭windows安全中心和windows防火墙,以降低系统安全性。
以下是详细分析报告,金山毒霸已经推出了病毒专杀工具,该工具同时可以帮你修复被映像劫持的注册表,在遇到其它病毒有类似现象时,也可以使用。请访问这里下载。
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
|
|
|
{#Hope_Link*1,8#}
{#Hope_Link*0,8#}
