|
|
强病毒AV终结者新的变种1 Z( c8 s1 I1 f7 e5 ?) F# y
, g+ s2 f# A: C) H4 m5 E
专业的人做专业的事情,强病毒AV终结者又有了新的变种!而且似乎强到了逆天!居然可以Ring3级技术来删除AV软件的关键程序,汗颜。不过俗话说"魔高一尺,道高一丈",金山的病毒专家铁军还是找到了对付的办法,下面演示给大家哈。
7 ]- W( n" p3 q2 l! i+ F9 `; q" J截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。% `# x$ j8 ?7 r
2 M5 V% u9 D; D( H+ y* E) H以下是详细分析报告:
* {' o. [( ]+ k病毒名: Win32.Troj.AvKiller.hd.212992 A1 c3 J9 L; n3 A$ |& H
病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程
2 `. j4 s. @( D- J e* w1 o8 W**释放文件**' D* ~8 G( B6 P( T" R) f- R
C:\WINDOWS\system32\nfxphzn.jbt 该文件为kernel32.dll的拷贝: C% g" j( } m0 {% D
c:\WINDOWS\system32\yqia.btl 该文件为病毒自身的拷贝
# Y7 U B5 @8 p$ f2 `9 E' `**下载文件**
; K0 g" k ~1 \w3.hao5555.com/v3/pic.bmp
. y, r% D8 f8 fw3.hao5555.com/v3/Riched32.dll
( u' e; q# K# U$ V+ ?w3.hao5555.com/v3/search.asp4 O" ^% z* U, }
w3.hao5555.com/bd.dll. y; ?$ \ s+ i8 J0 p2 ^ B
**修改的注册表**
9 o' b6 D% V( F7 C$ Z; ~[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
& K' B$ C9 z1 ~ E) z" N, a"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
9 h5 F& a. ?" c" {9 c; {7 a( Y[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]2 l: f# W! S( [. G8 {9 L# R
@="C:\\WINDOWS\\system32\\yqia.btl", Z; O- G1 H# _* F8 N* e5 U$ H# W
"ThreadingModel"="Apartment"$ R) ?+ ]2 b' j. l3 |
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
, B- P# P$ g$ d5 f5 w4 ]"DisableCMD"=dword:00000001
) @8 f" Z& ?7 s4 H5 R**挂接函数**
% B! a/ `+ m5 ], g/ y8 |0 uRegEnumValueA
* R: F6 @' w2 k+ y) t: y& `RegEnumValueW -- 目的为隐藏病毒添加的注册表键值1 Z, e: H' l1 {/ }9 r- f5 A$ d
CreateFileA4 K& Q6 ?) H a3 o
CreateFileW -- 目的为保护病毒释放的文件4 P4 [) y9 _$ z/ r1 d O
**卸载组件**& j- s% D$ E: f; |9 F. i
regsvr32.exe /u /s wshom.ocx
& F' z! K+ G$ m' k9 N e病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数
! Y0 L9 v# j% P" s9 d6 M) E( O2 j) C5 ]
[ 本帖最后由 神啊!救救我吧 于 2007-10-8 18:55 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-10-8 18:22:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡