|
|
强病毒AV终结者新的变种5 C& Y/ N) H- M' H; m* @. { _
) x n0 @7 t; \
专业的人做专业的事情,强病毒AV终结者又有了新的变种!而且似乎强到了逆天!居然可以Ring3级技术来删除AV软件的关键程序,汗颜。不过俗话说"魔高一尺,道高一丈",金山的病毒专家铁军还是找到了对付的办法,下面演示给大家哈。- F4 T+ U- P; P1 a/ u3 g" o
截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
" D; {) ~ x$ l7 G2 C
% X/ W' D3 `' Y+ H以下是详细分析报告:2 o/ V6 }+ ]5 g* _8 ]
病毒名: Win32.Troj.AvKiller.hd.212992
* ~& i: w: u3 y& e5 Y, M2 c病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程- M, l& w4 a3 S0 M' E
**释放文件**& a8 y3 [9 k/ l0 \% _! [
C:\WINDOWS\system32\nfxphzn.jbt 该文件为kernel32.dll的拷贝
g/ c! J8 J0 K! ec:\WINDOWS\system32\yqia.btl 该文件为病毒自身的拷贝* t6 S+ F" v& R$ V+ q; T( @
**下载文件**
5 e( a1 [8 b% b& @4 Y" C2 Yw3.hao5555.com/v3/pic.bmp' k, L) v5 C" [3 f' h. k+ ?! S
w3.hao5555.com/v3/Riched32.dll2 b% J% D) J6 T; o
w3.hao5555.com/v3/search.asp
0 {8 \9 m, t+ Z9 G" Hw3.hao5555.com/bd.dll
# }$ Y! |9 h4 Z5 P3 J) r0 `**修改的注册表**0 c2 \; M, j- e) F* q, _2 M
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]9 s- J. V# O7 u& _2 }7 a' C9 L
"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"8 d1 r8 C2 O' }, i3 O
[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]
+ V7 ^! _- }" r@="C:\\WINDOWS\\system32\\yqia.btl"" u. a* {# l7 `& ]; N
"ThreadingModel"="Apartment"
& b C7 O* z( P- V1 Y[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
* l# ?! I: Q% x( t2 f"DisableCMD"=dword:00000001
! d% i6 Y; [ N* o3 O" K9 u" }**挂接函数**
) V s! } ^( c3 R1 m+ c+ ~/ \RegEnumValueA
# n" ?2 [7 ]- BRegEnumValueW -- 目的为隐藏病毒添加的注册表键值
! g# I! c7 P4 R0 B' GCreateFileA
1 z' y1 v/ @2 D9 E" `) GCreateFileW -- 目的为保护病毒释放的文件
1 [; V7 u$ ]0 `0 P0 Y**卸载组件**9 K) C7 ^4 |2 Z) }9 Z
regsvr32.exe /u /s wshom.ocx
/ [. y9 R1 w$ S9 {' \& j7 h" U病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数. m( j8 `# r2 c1 S
; f; g/ _9 V/ u6 H3 ?
[ 本帖最后由 神啊!救救我吧 于 2007-10-8 18:55 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-10-8 18:22:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡