`
yuanlanxiaup
  • 浏览: 852612 次
文章分类
社区版块
存档分类
最新评论

AV终结者病毒大全及防范

 
阅读更多

AV终结病毒大全及防范


AV终结者 的症状及破坏性:

6月8日,金山毒霸发布紧急预警,“AV终结者”病毒导致大量安全软件无法正常使用,用户系统安全面临严峻威胁;短短三天之后,6月12日,“AV终结者”危害行为变得更加恶劣,杀毒软件被禁用,反病毒网站无法打开,安全模式遭破坏,格式化系统盘后病毒仍无法清除,用户电脑的安全性被大大降低,电脑内的重要信息、机密文件、网络财产等面临严峻威胁。

戴光剑表示,“AV终结者”集目前最流行的病毒技术于一身,而且破坏过程经过了严密的“策划”,普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃:

1、禁用所有杀毒软件以相关安全工具,让用户电脑失去安全保障;

2、破坏安全模式,致使用户根本无法进入安全模式清除病毒;

3、强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;

4、格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。

经过“AV终结者”的精心“策划”,用户电脑的安全防御体系被彻底摧毁,安全性几乎为零,而“AV终结者”并未就此罢手,自动连接到某网站,大量下载数百种木马病毒,各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

AV终结者 最新专杀下载:

“AV终结者”木马专杀工具-金山专杀: http://zhuansha.duba.net/259.shtml

绿色网下载地址-木蚂蚁: http://soft.mumayi.net/downinfo/6163.html



症状分析:

一、病毒简介

近日,被称为“安全杀手”的“AV终结者”开始表现出它的超强破坏力,用户一旦受感染,将会丧失全部的拯救能力。
金山毒霸反病毒专家戴光剑表示,“AV终结者”集目前最流行的病毒技术于一身,而且破坏过程经过了严密的“策划”,普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃:
1、禁用所有杀毒软件以相关安全工具,让用户电脑失去安全保障;
2、破坏安全模式,致使用户根本无法进入安全模式清除病毒;
3、强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;
4、格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。
但是,“AV终结者”的可恶行径并没有就此结束,它会自动连接到某网站,大量下载木马病毒和流氓软件。

二、病毒分析

1.生成文件

%programfiles%/Common Files/Microsoft Shared/MSInfo/{随机8位字母+数字名字}.dat
%programfiles%/Common Files/Microsoft Shared/MSInfo/{随机8位字母+数字名字}.dll
%windir%/{随机8位字母+数字名字}.hlp
%windir%/Help/{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%/{随机字母}.exe
替换%sys32dir%/verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的

HKEY_CLASSES_ROOT/CLSID/"随机CLSID"//InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wscsvc Start
dword:00000004

3.映像劫持

通过在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/
Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………

4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/
Advanced/Folder/Hidden/SHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/
wuauserv Start dword:00000004

6.删除以下注册表项,使用户无法进入安全模式
HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/
{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/
{4D36E967-E325-11CE-BFC1-08002BE10318}

7.连接网络下载病毒

hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含以下关键字窗口

Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木马
社区
aswBoot
…………

10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。

11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。

12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

三、防范及专杀工具

用户在正常运行的电脑上尽量不要使用自动播放功能,以避免通过插入U盘、移动硬盘等造成病毒感染。同时,应及时更新杀毒软件,开启在线监控功能和防火墙。

具体防范和专杀看此blog另外两篇文章:

AV终结者金山专杀 http://yahooi.blog.edu.cn/user4/yahooi/archives/2007/1771457.shtml

AV终结者系统补丁下载 http://yahooi.blog.edu.cn/user4/yahooi/archives/2007/1771436.shtml

分享到:
评论

相关推荐

    AV终结者原版VIP原版

    这是2010年底开发出来的AV终结者新版。

    AV终结者与文件夹病毒杀除免疫工具.zip

    解压后运行即可对盘免疫文件夹病毒。每次行政服务中心拷贝数据,在专门网的电脑上一插上U盘,所有文件夹全部隐藏,然后病毒EXE伪装成文件夹诱使点击。有了这个工具可以使U盘免疫该病毒。注意360可能会报错。

    AV终结者变种(新)

    AV终结者的一个变种,还有自己写的一个批处理

    病毒专杀工具AV终结者

    监测发现了一系列反击杀毒软件,破坏系统安全模式,植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”,AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。

    超级AV终结者生成器

    超级AV终结者生成器 超级AV终结者生成器 超级AV终结者 AV终结者 AV终结下载者 AV终结者 关闭敏感字关键字窗口,Kill杀软

    av终结者杀毒软件

    av终结者,主要杀毒蠕虫等病毒

    机器狗、AV终结者、8749 木马专杀工具

    专杀机器狗、AV终结者、8749 木马 遇到了他们几个还是很可恶的 好在可以专杀

    AV终结者

    遇到一个病毒,只要在网页标题上有"病毒",或者"专杀"之类,便将你的浏览器关闭,用此工具可以杀,可更新.后来一位朋友也遇到了.不知道金山的便可在这下了,可以去金山去找哦

    AV终结者与文件夹病毒免疫工具.EXE

    本软件最新版本build 6.0 ,将帖中问题一一修复,下载地址: http://download.csdn.net/source/2933223 我的主页http://www.zhxqweb.net

    机器狗/磁碟机/AV终结者" 木马专杀工具 v7.41

    清除机器狗/AV终结者/8749病毒,自带“引擎与病毒库”“磁碟机”专杀;修复“映像劫持”;修复Autorun.inf;修复安全模式。使用该专杀工具查杀后,请使用金山毒霸进行一次全面杀毒即可 利用此专杀工具,用户不但可...

    AV终结者”木马专杀工具

    这样的一个病毒,打开杀毒软件它会立刻帮你关掉,浏览器输入病毒两个字打开它也会立刻将你整个浏览器关掉,进入安全模式进不了,可能会出现蓝屏,这种叫做终结者病毒,下载这个专杀什么都帮你解决了。

    文件夹病毒与AV终结者免疫器BUILD06

    本人正在与360联系修正这个问题(快速确认是否U盘真正中病毒:只要没添加新的文件夹,是绝对不会中病毒的!)360查病毒的原理与我一样(有个与文件夹重名的.exe或.lnk文件就算病毒,不管它是不是真的),所以可能会...

    AV终结者专杀软件、木马,机器狗等

    AV终结者专杀软件、木马,机器狗,等等 好的东东,我不得不让大家试试。谢谢光临

    如何清除流氓软件8749病毒解决方案

    病毒还破坏了安全模式,并监视注册表键,即使您使用金山毒霸的AV终结者专杀工具,也不能在病毒运行时,修复被破坏的安全模式,造成手工解除病毒非常困难。金山毒霸已经紧急升级了有关8749病毒的特征库,需要将金山...

    病毒专杀DubaTool_AV_Killer.rar

    病毒专杀工具 一键拯救 DubaTool_AV_Killer.rar

    手工清理病毒原来可以如此简单

    今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒(本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒)

    好东西bat宏图病毒工作室 作者:小七子

    echo │ │ echo ╭────────┤ 常见病毒专杀...echo │ 7 .AV终结者病毒专杀 -----按"7" │ echo │ │ echo │ │ echo ╰───────────────────────────────────╯ echo.

    最新的AV-killer专杀病毒

    AV-killer是一款流行的病毒专杀软件,真正让你离开无马世界,

    AV病毒专杀工具

    最新版本的,功能很强大!!!

Global site tag (gtag.js) - Google Analytics