|
|
强病毒AV终结者新的变种# }2 j- u+ }. i8 q4 x) _
! w4 W6 c" w; N3 t: Z7 |: h5 G: y
专业的人做专业的事情,强病毒AV终结者又有了新的变种!而且似乎强到了逆天!居然可以Ring3级技术来删除AV软件的关键程序,汗颜。不过俗话说"魔高一尺,道高一丈",金山的病毒专家铁军还是找到了对付的办法,下面演示给大家哈。
L: {3 r5 j( W5 V; m截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
: y, d, ]$ i: ]; m2 R: G/ @' {) e8 O2 w) R% O
以下是详细分析报告:3 q; @- B( E9 d& \7 x, ?
病毒名: Win32.Troj.AvKiller.hd.212992
6 P3 _$ a+ F9 D, g7 l; l* X病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程
! q# d5 F& T% D( V8 K, O$ K- ?**释放文件**1 r5 B, Z4 b* ]1 s3 k
C:\WINDOWS\system32\nfxphzn.jbt 该文件为kernel32.dll的拷贝
" Q' V: s6 _; ~5 e: d: P: c( Ac:\WINDOWS\system32\yqia.btl 该文件为病毒自身的拷贝5 J1 Y& r+ K- X4 I9 k7 [( r: C
**下载文件**6 y3 }6 @ K" K6 C
w3.hao5555.com/v3/pic.bmp- k3 b& T+ U$ P) V; S
w3.hao5555.com/v3/Riched32.dll
2 a8 l6 ]; M, i3 i$ u' Nw3.hao5555.com/v3/search.asp
' v3 {9 r: a% h( V8 G# G, jw3.hao5555.com/bd.dll
2 T" I8 Y. X. p9 w' ^' N0 x0 j**修改的注册表**/ P) a2 `/ e6 d8 o; x3 w
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
% @1 T4 I! ^. j5 I% j/ k7 o# U"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
1 ?$ C" {7 N) ?) H. v5 D3 h7 g[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]& _6 T! j5 x+ n4 B" J2 Y
@="C:\\WINDOWS\\system32\\yqia.btl"# T* \6 z2 C Z6 S
"ThreadingModel"="Apartment"" p+ h; l0 [5 x
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
1 l5 x$ M$ V A5 O: N"DisableCMD"=dword:00000001
4 K$ ?/ ^$ z+ S# P! X# t9 n**挂接函数**. z0 i$ Y# K* K3 {" Z& v
RegEnumValueA! A" C |: l+ {7 j0 o) I
RegEnumValueW -- 目的为隐藏病毒添加的注册表键值
2 W5 m! i! q4 J6 |$ T$ o! MCreateFileA
* O& N- f& B6 wCreateFileW -- 目的为保护病毒释放的文件
) i1 S" I/ ^: j* h0 ]. j! F**卸载组件**
1 i4 l0 F1 C$ V( o$ q) i7 Nregsvr32.exe /u /s wshom.ocx2 q$ `, r% N7 ? N2 N; D" @
病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数3 z* H' D0 t- o
" h! G0 H1 p2 i! s7 M: ^8 | _4 p+ `; j[ 本帖最后由 神啊!救救我吧 于 2007-10-8 18:55 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-10-8 18:22:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡