|
|
强病毒AV终结者新的变种* k, @2 i0 ^: o
; Y/ i8 o1 p' ^* W
专业的人做专业的事情,强病毒AV终结者又有了新的变种!而且似乎强到了逆天!居然可以Ring3级技术来删除AV软件的关键程序,汗颜。不过俗话说"魔高一尺,道高一丈",金山的病毒专家铁军还是找到了对付的办法,下面演示给大家哈。
+ c! w" ] L6 O8 N截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。 A3 _4 b6 w) T. u
- E5 g8 ]3 r6 p
以下是详细分析报告:) }1 D9 E# v, f! o3 e
病毒名: Win32.Troj.AvKiller.hd.212992* v$ H0 w0 E* U" _1 S8 D
病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程
. o; w5 F3 k/ s+ V. P**释放文件**/ o, b" G# k, H: Q9 d2 s
C:\WINDOWS\system32\nfxphzn.jbt 该文件为kernel32.dll的拷贝! n0 G* R% q* @
c:\WINDOWS\system32\yqia.btl 该文件为病毒自身的拷贝: Q) a- P% F) J" Y Y. C2 _4 b y
**下载文件**2 N% V9 |6 [4 z- q6 N4 x# M
w3.hao5555.com/v3/pic.bmp
% n/ @ @2 F8 P& l; ~, I, Z& ~w3.hao5555.com/v3/Riched32.dll( x& J' t8 |! `/ i+ \' _# y' b
w3.hao5555.com/v3/search.asp
: n( d. b0 ?2 m- m% m M3 ^w3.hao5555.com/bd.dll. H( [9 \7 E* F/ `) A
**修改的注册表**" [6 ]% }0 _$ y: y5 }
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
4 u) f4 R( j9 i" _- j"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}". @8 |' Q/ O" \ Q- P
[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]9 Y3 e" M: o; _" `% A' l$ I/ ~" K
@="C:\\WINDOWS\\system32\\yqia.btl"+ M2 X0 a- y+ G7 u
"ThreadingModel"="Apartment"
' |$ q: q( n/ \/ a' W6 u[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
) S t+ ]: u2 e2 V0 K* `. i; A"DisableCMD"=dword:00000001
* H0 R% }' |7 N, f C. e$ L7 P**挂接函数**
! c/ `. G9 e% n" d u [RegEnumValueA
/ A9 Q: T* v5 \# {; a1 fRegEnumValueW -- 目的为隐藏病毒添加的注册表键值
0 d' ^/ _8 m+ l: l' B& u, QCreateFileA' `9 @' \( [7 b( O7 ~
CreateFileW -- 目的为保护病毒释放的文件6 j W7 H3 M8 H3 @2 q F2 P
**卸载组件**( s% Z8 i: s6 }/ r% G
regsvr32.exe /u /s wshom.ocx
* J0 ] B/ i2 p- J9 G病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数
1 N" \( m! P3 q" n: j6 }& t/ D/ F" H- U$ j& P/ F
[ 本帖最后由 神啊!救救我吧 于 2007-10-8 18:55 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-10-8 18:22:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡