|
|
强病毒AV终结者新的变种7 F" e5 O: j! Z( O! T5 D# u7 u; \
" A' e" }- O. k5 o# v: `6 `; z
专业的人做专业的事情,强病毒AV终结者又有了新的变种!而且似乎强到了逆天!居然可以Ring3级技术来删除AV软件的关键程序,汗颜。不过俗话说"魔高一尺,道高一丈",金山的病毒专家铁军还是找到了对付的办法,下面演示给大家哈。
" c, I& E# G- [6 [# E1 X! S* y8 ~截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。; ]; q8 t4 k6 ^+ p/ }
0 g4 a' M1 Z) L z1 N8 B7 Z以下是详细分析报告:. H* `* N% Z3 ? I5 l( F' J
病毒名: Win32.Troj.AvKiller.hd.212992$ I: ~+ C5 |; W0 A7 c3 F
病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程3 t0 Z2 H/ A1 n4 D; L2 O7 R& y
**释放文件**
3 _6 B$ e" `) r% G+ u) E @( iC:\WINDOWS\system32\nfxphzn.jbt 该文件为kernel32.dll的拷贝
( Q& ]& Z! b! H, U `# Bc:\WINDOWS\system32\yqia.btl 该文件为病毒自身的拷贝
4 s3 g, M* d8 @0 H2 a**下载文件**
# O4 H: I2 o# i. T7 H9 x zw3.hao5555.com/v3/pic.bmp
, R/ L3 |. q9 }" Tw3.hao5555.com/v3/Riched32.dll
) b# D' K! [- K- Y( Z7 {w3.hao5555.com/v3/search.asp
0 z, j% N8 e9 \4 E/ F, ^" m* Rw3.hao5555.com/bd.dll- B* Z5 q5 c9 L/ F5 c- E) A- J
**修改的注册表**
& s ]# Q8 f$ p3 h$ I( k[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]; l8 `3 \5 i- Z$ s
"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"* ]# S- w( l2 e5 E- k) Z' U
[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]* a( o7 o6 }; g& O8 _9 I
@="C:\\WINDOWS\\system32\\yqia.btl"; o/ Y# Q7 x- D7 w6 Y
"ThreadingModel"="Apartment" _/ f* w; m- g# f7 O( a! X
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
+ Z# y% b/ q1 p( q"DisableCMD"=dword:000000018 L" P9 i7 q' h& Y4 Z
**挂接函数**
& \& ?2 n! f2 T' U4 y' X; QRegEnumValueA
7 g1 W' d1 n! `2 @6 XRegEnumValueW -- 目的为隐藏病毒添加的注册表键值9 _9 |% x1 ` w% n. t; p
CreateFileA3 S' F2 ?3 r ^9 H" t0 C* ]. J, h) N
CreateFileW -- 目的为保护病毒释放的文件
& {' @4 c' E8 {# x0 X8 n**卸载组件**
$ ]0 ]6 @& l1 G `regsvr32.exe /u /s wshom.ocx
* D4 K$ T# i' s3 V: ^2 a: v病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数
, t3 `2 N. X- T! Z U% R _
7 [$ o5 S2 Q. X+ J7 c6 \( @[ 本帖最后由 神啊!救救我吧 于 2007-10-8 18:55 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-10-8 18:22:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡