【www.gbppp.com--经典美文】
AV终结者病毒详解及专杀工具
最近AV终结者病毒大量流行,对于AV终结者病毒,现在给出详解及专杀工
具
该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无
法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量
病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质
传播
1.生成文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的。
3.生成以下注册表项来进行文件映像劫持,从而试图阻止相关安全软件运
行,并执行病毒体。
1
2
3
4
5
终结者" "AV 终结者"病毒发作症状及防范措施 2007 年 06 月 13 日 06:32 [我来说两句(4)] [字号:大 中 小] 来源: 来源:京华时报 ■病毒发作症状 1.生成很多 8 位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。 2.绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正 常启动。 3.不能正常显示隐藏文件,其目的是更好地隐藏自身不被发现。 4.禁用 windows 自动更新 和 Windows 防火墙, 这样木马下 载器工作时, 就不会有任何提示 窗口弹出来。 5.破坏系统安全模式, 使得 用户不能启动系统到安全模式 来维护和修复。 6.当前活动窗口中有杀毒、 安全、社区相关的关键字时,病 毒会关闭这些窗口。 假如你想通 过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。 7.在本地硬盘、U 盘或移动硬盘生成 autorun.inf 和相应的病毒程序文件,通过自动播 放功能进行传播。很多用户格式化系统分区后重装,访问其他磁盘,立即再次中毒。 8.最终目的是下载更多木马、后门程序。用户最后受损失的情况正是取决于此。 ■防范措施 对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦 感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒 专家们向记者提供了针对该病毒防范措施: 1.保管好自己的 U 盘,MP3、移动硬盘等移动储存的使用,当外来 U 盘接入电脑时,请 先不要急于双击打开, 一定要先经过杀毒处理, 建议采用具有 U 盘病毒免疫功能的杀毒软件, 如 KV2007 独有的 U 盘盾技术,可以免疫所有 U 盘病毒通过双击 U 盘时运行。 2. 给系统打好补丁程序, 尤其是 MS06-014 和 MS07-17 这两个补丁, 目前绝大部分的网 页木马都是通过这两个漏洞入侵到计算机里面的。 3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。 4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。 5.关闭 windows 的自动播放功能。 ■传播方式 1.通过 U 盘、移动硬盘的自动播放功能传播。 2.AV 终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段 时间 ARP 攻击的病毒泛滥有关。 ■专杀工具下载 金山毒霸专杀工具下载地址: 瑞星反病毒中心专杀工具下载地址: ■手动清除办法 1.到网上下载 IceSword 工具,并将该工具改名,如改成 abc.exe 名称,这样就可以突 破病毒进程对该工具的屏蔽。然后双击打开 IceSword 工具,
结束一个 8 位数字的 EXE 文件 的进程,有时可能无该进程。 2.利用 IceSword 的文件管理功能, 展开到 C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除 2 个 8 位随机数字的文件,其扩展名分别为:dat 和 dll 。再 到%windir%\help\目录下,删除同名的.hlp 或者同名的.chm 文件,该文件为系统帮助文件 图标。 3. 然后到各个硬盘根目录下面删除 Autorun.inf 文件和可疑的 8 位数字文件,注意, 不要直接双击打开各个硬盘分区,而应该利用 Windows 资源管理器左边的树状目录来浏览。 有时电脑中毒后可能无法查看隐藏文件,这时可以利用 WinRar 软件的文件管理功能来浏览 文件和进行删除操作。 4.利用 IceSword 的注册表管理功能,展开注册表项到: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的 IFEO 劫持项。 当完成以上操作之后, 就可以安装或打开杀毒软件了, 然后升级杀毒软件到最新的病毒 库,对电脑进行全盘杀毒。
AV终结者最彻底解决方案
病毒名称:AV终结者
传播方式:内存,windows漏洞
破坏方式:进程插入
生成病毒文件名:随机8位字符
自我保护:应用程序绑架
病毒目的:从网络上下载大量木马
危害等级:★★★★★【av终结者,】
近日网络上出现了一种破坏力及强的病毒“AV终结者”,不到一个月时间,变种就已达到数百个之多
,波及人群超过十几万人,这个病毒非常变态,一旦感染就很难清楚。 “AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,它是通过闪存等存储介质或者注【av终结者,】【av终结者,】
入服务器来实现的。
一、什么是“AV终结者”
“AV终结者”病毒运行后会在系统中生成如下几个文件:C:\program files\common files\microsoft
shared\msinfo\随机生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\随机
生成病毒名.dll、C:\windows\随机生成病毒名.chm
“AV终结者”的病毒名是由大写字母+数字随机组合而成,其长度为8位,可以说生成同名病毒的概率是很
低的。因此即使我们知道了这是病毒生成的文件,也别指望通过病毒名在网络上找到病毒的清楚方法。
“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符
时就会激活病毒,即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法,不少
用户也懂得删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项里”,想显示隐藏文件时,
可以发现这里已经被病毒给禁用了。
针对杀毒软件的攻击,是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。
国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时,病毒就会乘胜追击
,通过一种“映象劫持”技术将杀毒软件彻底打入死牢。
“映象劫持”会在注册表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名
的项。建立完毕后,病毒还会在里面建立一个Debugger键,键值为“c:\progra~1\common~1\micros~1
\msinfo\05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时,运行的其实是病毒程序。
为了避免在“任务管理器”中露出破绽,病毒会将自己的进程注入到系统的资源管理器进程
explorer.exe中,这样我就无法通过“任务管理器”发现病毒的进程了。
病毒进程的主要作用是监视系统
中的用户操作,例如你想手动清楚病毒,修改注册表,病毒没隔一段时间就会把注册表改回去,让你百费
劲。另一个作用是监视IE窗口,发现用户搜索病毒资料时,立即关闭网页。
此外,病毒还会破坏windows防火墙和安全模式,封堵用户的后路。最重要的是,病毒会从网络上下
载大量盗号木马,盗取用户的游戏帐户信息,这也是它的真正目的。
二、彻底清楚“AV终结者”
1、运行“任务管理器”,结束“explorer.exe”进程,单击“任务管理器的”文件菜单,选择“新
建任务”,输入“regedit”,找到HEKEY-LOCAL-
MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall,将
Checkedvalue的的键值改为“1”。
2、在“regedit”中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows
NT\currentversion\image file execution options,将以杀毒软件和安全工具命名的项删除。
3、在“资源管理器”中单击“工具”——“文件夹选项”,切换到“查看”,取消“隐藏受保护的
操作系统文件”前面的勾,然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒
文件。删除其他分区中的病毒,注意不要双击进入盘符,而要用右键点击进入。
三、预防“AV终结种”
首先,要禁止自动播放功能,并能及时更新系统补丁,尤其是MS06-014和MS07-017这两个补丁。
其次,要限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下:开始——运行
本文来源:http://www.gbppp.com/jd/467008/
推荐访问:终结者2 终结者3