|
|
强病毒AV终结者新的变种0 _) w/ V+ r' \1 c! b( R& q
4 |$ ]" m7 \7 \5 S! ?3 Q! f专业的人做专业的事情,强病毒AV终结者又有了新的变种!而且似乎强到了逆天!居然可以Ring3级技术来删除AV软件的关键程序,汗颜。不过俗话说"魔高一尺,道高一丈",金山的病毒专家铁军还是找到了对付的办法,下面演示给大家哈。/ u5 B* A4 X+ F$ s9 Z) J
截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
6 ?' G, {5 P V9 |* \
3 G, T2 p* C' Q: I以下是详细分析报告:
! G& q, T) O; ?6 R4 c* b4 t病毒名: Win32.Troj.AvKiller.hd.212992
! w& o9 B1 B2 c# c病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程8 d/ w+ N- z4 t$ e
**释放文件**+ e9 m$ q: {% U3 f. \) I# k1 ]
C:\WINDOWS\system32\nfxphzn.jbt 该文件为kernel32.dll的拷贝
" i! a4 {$ B5 l) d m) n& Fc:\WINDOWS\system32\yqia.btl 该文件为病毒自身的拷贝
, }4 R4 n) \2 E' C' F**下载文件**% W, U' _0 ~7 {$ b Z
w3.hao5555.com/v3/pic.bmp
/ |! [0 D3 r( J! Kw3.hao5555.com/v3/Riched32.dll7 E' h2 \2 C( [ I+ [6 C3 ^- H
w3.hao5555.com/v3/search.asp+ V) \9 [* a# f! v
w3.hao5555.com/bd.dll0 X6 |! U# Y; O2 O5 S7 D
**修改的注册表**
5 M3 H4 R) W+ U7 Q; `: S7 [[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
& i, v! n$ e% I4 D$ r) Q, i"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
. k1 f6 h6 c X+ F[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]
& u0 j9 n6 M6 R0 r: K' L. L, |7 ? ~@="C:\\WINDOWS\\system32\\yqia.btl"
) Z. [5 G" _0 v$ s3 y1 w- ]4 f"ThreadingModel"="Apartment"
9 C. d* o/ D* m. K5 J[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]7 U, q& A3 `6 W
"DisableCMD"=dword:00000001
_& J+ U% P S/ }& }+ u5 _**挂接函数*** x1 ^+ M; ^# c: x, e
RegEnumValueA. x0 ?* p" P+ i; m7 m4 o- o
RegEnumValueW -- 目的为隐藏病毒添加的注册表键值
% }8 Y0 e {3 J. _CreateFileA
9 V4 k% k; v+ |' ~CreateFileW -- 目的为保护病毒释放的文件
* [, a5 |5 w% F**卸载组件**, f8 q2 W7 {6 t8 K
regsvr32.exe /u /s wshom.ocx
) b/ f3 P+ ?2 O# d病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数
) P' t; v% `6 ?" @4 a! x1 h& |: A0 x
[ 本帖最后由 神啊!救救我吧 于 2007-10-8 18:55 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-10-8 18:22:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡