AV终结者能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。
AV终结者最彻底解决方案病毒名称:AV终结者
传播方式:内存,2个windows漏洞 (变种 未知)
破坏方式:进程插入
生成病毒文件名:随机8位字符
自我保护:应用程序劫持技术 破坏隐藏文件显示 强行关闭知名杀毒/马软件 无法进入安全模式
病毒目的:从网络上下载大量木马
危害等级:★★★★★
近日网络上出现了一种破坏力及强的病毒“AV终结者”,不到一个月时间,变种就已达到数百个之多,波及人群超过十几万人,这个病毒非常变态,一旦感染就很难清除。
“AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,它是通过闪存等存储介质或者注入服务器来实现的。
一、什么是“AV终结者”
“AV终结者”病毒运行后会在系统中生成如下几个文件:C:program filescommon filesmicrosoft sharedmsinfo随机生成病毒名.dat、C:program filescommon filesmicrosoft sharedmsinfo随机生成病毒名.dll、C:windows随机生成病毒名.chm
“AV终结者”会在其他磁盘上中生成文件:#:\随机生成病毒名.dat
“AV终结者”的病毒名是由大写字母+数字随机组合而成,其长度为8位,可以说生成同名病毒的概率是很低的。因此即使我们知道了这是病毒生成的文件,也别指望通过病毒名在网络上找到病毒的清除方法。
“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法,不少用户也懂得删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项里”,想显示隐藏文件时,可以发现这里已经被病毒给禁用了。
针对杀毒软件的攻击,是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时,病毒就会乘胜追击,通过一种“映象劫持”技术将杀毒软件彻底打入死牢。
“映象劫持”会在注册表的“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后,病毒还会在里面建立一个Debugger键,键值为“c: progra~1common~1micros~1msinfo�5cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时,运行的其实是病毒程序。
为了避免在“任务管理器”中露出破绽,病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中,这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作,例如你想手动清楚病毒,修改注册表,病毒没隔一段时间就会把注册表改回去,让你白费劲。另一个作用是监视IE窗口,发现用户搜索病毒资料时,立即关闭网页。
此外,病毒还会破坏windows防火墙和安全模式,封堵用户的后路。最重要的是,病毒会从网络上下载大量盗号木马,盗取用户的游戏帐户信息,这也是它的真正目的。
二、彻底清除“AV终结者”
1、运行“任务管理器”,结束“explorer.exe”进程,单击“任务管理器的”文件菜单,选择“新建任务”,输入“regedit”,找到HEKEY-LOCAL-MACHINEsoftwaremicrosoftwindowscurrentversionexploreradvanced folderhiddenshowall,将Checkedvalue的的键值改为“1”。
2、在“regedit”中找到HEKEY-LOCAL-MACHINEsoftwaremicrosoftwindows NTcurrentversionimage file execution options,将以杀毒软件和安全工具命名的项删除。
3、在“资源管理器”中单击“工具”——“文件夹选项”,切换到“查看”,取消“隐藏受保护的操作系统文件”前面的勾,然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒文件。删除其他分区中的病毒,注意不要双击进入盘符,而要用右键点击进入。
三、预防“AV终结者”
首先,要禁止自动播放功能,并能及时更新系统补丁,尤其是MS06-014和MS07-017这两个补丁。
其次,要限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下:开始——运行,输入regedit,找到 HEKEY-LOCAL-MACHINEsoftwaremicrosoftwindows NTcurrentversionimage file execution options,右击此选项,在弹出的菜单中选择“权限”,然后把administrors用户组和users用户组的权限全部取消即可。最后,要限制 SAFEBOOT的读写权,达到限制“AV终极者”修改或删除Drives,保护安全模式正常运行的目的。操作方法如下:同样是在32位注册表里找到 HKEY-LOCAL-MACHINESYSTEMcontorlset002controlsafeboot
etwork{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINESYSTEM currentcontrolsetcontrolsafebootminimal,将administors用户组和users用户组的权限全部取消即可。
传播途径1.“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播,建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。
2. AV终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
病毒特征这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。
病毒现象·1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
·2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
·3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
·4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
·5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。
·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
·9.病毒运行后,鼠标右击菜单以及下拉菜单选项,会在1到两秒钟时间后,自动选择最后一个选项,不过可以使用快捷方式组合。
防范措施对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施:
1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。
2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。
4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。
5.关闭windows的自动播放功能。
病毒解决方案方法一:
因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下:
1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
方法二:
去黑联盟或黑客动画吧,下载一个AV生成器,运行后(注意别单击生成),选“卸载本地服务端”。
方法三:
1.在感染"AV终结者"病毒的电脑上,直接下载杀毒软件:avira antivir personal-free antivirus免费版(英文).
2.立即运行avira antivir personal-free antivirus,将扫描过程中提示的可疑文件移至隔离区(quarantine).单击"全部修复",将可修复的文件修复.
3.此时,可以键入"杀毒"等词语. 病毒不会终止大部分的杀毒软件和安全工具的进程.
下载:360安全卫士 V5.2 Beta3
立即运行360安全卫士 V5.2 Beta3,直至电脑体检为100分.
4.重新进入avira antivir personal-free antivirus——administration——quarantine,将木马病毒等扔进垃圾桶,将不能确定的可疑文件发送给avira.
5.为了安全起见,再运行一次360安全卫士 V5.2 Beta3,结果为:电脑体检100分; 或再运行一次avira antivir personal-free antivirus,结果为: 事件报告正常.
(强力推荐)方法四:
1.有下载symantec antivirus的人启动自动保护,AV终结者不会危害到这个软件(如果不见了就重启)。
2.symantec antivirus会自动杀毒,就是AV终结者的根源杀不了,但是你有腾讯qq和360保险箱的话,可以打开腾讯qq,会杀到木马,点一下红色的字(要快,不行就重来一遍),再点全盘木马查杀,再杀木马就可以了。
3.重启电脑(会有点卡,耐心一点)就完成了。
AV终结者变种病毒介绍及安全建议一、病毒英文名:js.downloader.cf.2210
病毒中文名:脚本下载器CF
日均感染电脑量:1634320
威胁级别:★★
入侵方式:网马下载 触发漏洞下载
“脚本下载器CF”(js.downloader.cf.2210)这个新诞生的脚本木马,只用了短短几天,就以单日120万台次的感染量位居感染排行的榜首。
此毒含有多款系统安全漏洞的利用代码,只要遇到电脑,就可立即自动攻击。它进行传播的方法则是网页挂马。
二、病毒英文名:win32.troj.agent.pe.114688
病毒中文名:AV终结者变种PE
日均感染电脑量:445430
威胁级别:★★
入侵方式:网马下载 U盘传播
win32.troj.agent.pe.114688这个对抗型下载器的感染量上升速度十分惊人,以单日44万台次的感染量,位居感染量排行榜的第二名。
此毒的中文名之所以取为“AV终结者变种PE”,是由于它的行为非常类似AV终结者,它会尝试搜索并关闭常见杀软的运行,然后下载大量的恶意程序,比如盗号木马和远程控制木马。
此毒的突然爆发,与网页挂马的推广有很大的关系,打齐系统补丁是防御此毒的最好办法。如果你的电脑已经打齐补丁,却还频繁报告发现此毒,那么可以尝试清除IE缓存。
如果这样依然无法消除此毒,则说明您的电脑存在未知漏洞,或是有未知的某种下载器在作怪。
警惕AV终结者变种病毒的安全建议
1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。
4.警惕网络诈骗,切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。
手动清除办法1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:Program FilesCommon FilesMicrosoft SharedMSINFO下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%help目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供
病毒分析1.生成文件
%programfiles%Common FilesMicrosoft SharedMSInfo{随机8位字母+数字名字}.dat
%programfiles%Common FilesMicrosoft SharedMSInfo{随机8位字母+数字名字}.dll
%windir%{随机8位字母+数字名字}.hlp
%windir%Help{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%{随机字母}.exe
替换%sys32dir%verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOTCLSID"随机CLSID"InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc Start
dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………
4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal
7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木马
社区
aswBoot
…………
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。
12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
专杀工具金山AV终结者专杀工具
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM
远程大战“超级AV终结者”记得12月6日,笔者写了一篇预防“超级AV终结者”的博文,但有少部分朋友没有引起重视,没有采取有效预防措施。
这不,昨天上午有朋友请求支援,说自己的系统无法正常运行,杀毒软件无法正常打开监控,搜索有关杀毒软件的关键词时网页自动关闭,进入安全模式无效,任务管理器无法正常工作,显示磁盘隐藏文件的选项失效.....
帮助朋友是一种乐趣,查杀病毒也是一种乐趣!
但昨天上午,无法自己动手把病毒一个一个揪出来再一个一个干掉,因为朋友远在河北。没有办法,只好远程协助借助软件来干掉“超级AV终结者”,寻找远程杀毒的乐趣!
1、下载金山系统急救箱(超级av终结者专杀增强版)。此软件已更名为IE7 0day漏洞的免疫特别版,能够完美处理“超级av终结者”、扫荡波等病毒,清除未知木马群,据有扫荡波攻击免疫功能,能够帮您修复因为病毒破坏而出现的系统异常。
2、把此软件下载到非系统盘之外的任一硬盘下,右键打开(建议不要双击打开),软件自动解压后得到一个“金山系统急救箱”。
3、右键打开金山系统急救箱,软件即自动检测、修复系统,修复完毕后按照提示重启系统。如图:
4、重启系统以后,再次使用急救箱扫描,确认系统内所有病毒清除干净。
5、下载安装Bitdefender Internet Security 2008 简体中文版。软件简介、下载、安装及免费试用方法请参考《世界排名第一的Bitdefender(2008版)全系列下载及试用方法》。安装后重启,升级病毒库存,全盘查杀病毒。
特别说明:为什么要推荐这款杀毒软件?因为超级AV终结者主要针攻击卡巴斯基、瑞星、江民、金山等常用杀毒软件。另外,杀毒软件全球排名金奖得主Bitdefender的杀毒性能也是一流的,可以帮助你完全清除系统残存的各类病毒!
6、查杀完病毒后,下载一个超级兔子魔法设置。下载安装后,清理下系统注册表项。有另据一遭遇相似的朋友讲,用软件清除 “超级AV终结者”后,无法上网页了。这是因为,“超级AV终结者” 修改了浏览器的注册表项,因此也可以用超级兔子的IE修复功能进行修复。
下载地址:http://xiazai.zol.com.cn/detail/13/120398.shtml
至此,我们已经完全把“超级AV终结者”干掉,并消灭了它的余党。现在,我们可以卸载Bitdefender 软件,再安装其它软件。不过,笔者建议测试检验下这一款软件,毕竟金奖产品不是徒有虚名
善意提醒:圣诞节、元旦节将至,正是病毒高发时节,提醒各位好友一定要注意系统的安全防范,如果在没有防备的时候中了病毒,那可是会影响心情的哟!预防要点如下:
1、安装正版或者原版系统,不要用各大论坛发布的“XX版”,并且开启自动更新打上微软官方的所有补丁。
2、选择几款安全防范软件,组成“安全金盾”。推荐方案:①卡巴斯基KIS8。0+AVG2008个人免费版+超级兔子魔法设置; ②金山毒霸2009杀毒软件套装+AVG7。5绿色版+360;③卡巴斯基KIS8。0+AVG7。5绿色版+超级兔子魔法设置。
3、养成良好的电脑使用习惯,关闭移动盘自动运行,定期查杀病毒,定期进行系统备份。
