VTool.AVKill.a.832512

王朝other·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

AV终结者

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

832512

影响系统:

Win9xWinNTWin2000WinXPWin2003

病毒行为:

该病毒是一个AV终结者病毒的生成器,生成器可根据以下自定义的功能来生成病毒文件:

可自定义5个下载病毒的网址.

运行后自删除.

屏蔽杀毒软件.

穿透还原精灵.

服务端免杀.

生成器在相同目录下生成一个Worm.Delf.cc.127044的病毒文件,该生成的病毒文件的信息和行为主要有以下:

该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播。

1.生成文件

%programfiles%\CommonFiles\MicrosoftShared\MSInfo\{随机8位字母+数字名字}.dat

C:\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\{随机8位字母+数字名字}.dll

%windir%\{随机8位字母+数字名字}.hlp

%windir%\Help\{随机8位字母+数字名字}.chm

2.生成以下注册表项来达到使病毒随系统启动而启动的目的

HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32"病毒文件全路径"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID""病毒文件全路径"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"生成的随机CLSID"""

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvcStartdword:00000004

3.映像劫持

通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统治理软件运行,并执行病毒体。

被劫持的软件包括:

360rpt.exe;

360Safe.exe;

360tray.exe;

adam.exe;

AgentSvr.exe;

AppSvc32.exe;

autoruns.exe;

avgrssvc.exe;

AvMonitor.exe;

avp.com;

avp.exe;

CCenter.exe;

ccSvcHst.exe;

FileDsty.exe;

FTCleanerShell.exe;

HijackThis.exe;

IceSword.exe;

iparmo.exe;

Iparmor.exe;

isPwdSvc.exe;

kabaload.exe;

KaScrScn.SCR;

KASMain.exe;

KASTask.exe;

KAV32.exe;

KAVDX.exe;

KAVPFW.exe;

KAVSetup.exe;

KAVStart.exe;

KISLnchr.exe;

KMailMon.exe;

KMFilter.exe;

KPFW32.exe;

KPFW32X.exe;

KPFWSvc.exe;

KRegEx.exe;

KRepair.COM;

KsLoader.exe;

KVCenter.kxp;

KvDetect.exe;

KvfwMcl.exe;

KVMonXP.kxp;

KVMonXP_1.kxp;

kvol.exe;

kvolself.exe;

KvReport.kxp;

KVScan.kxp;

KVSrvXP.exe;

KVStub.kxp;

kvupload.exe;

kvwsc.exe;

KvXP.kxp;

KvXP_1.kxp;

KWatch.exe;

KWatch9x.exe;

KWatchX.exe;

loaddll.exe;

MagicSet.exe;

mcconsol.exe;

mmqczj.exe;

mmsk.exe;

NAVSetup.exe;

nod32krn.exe;

nod32kui.exe;

PFW.exe;

PFWLiveUpdate.exe;

QHSET.exe;

Ras.exe;

Rav.exe;

RavMon.exe;

RavMonD.exe;

RavStub.exe;

RavTask.exe;

RegClean.exe;

rfwcfg.exe;

RfwMain.exe;

rfwProxy.exe;

rfwsrv.exe;

RsAgent.exe;

Rsaupd.exe;

runiep.exe;

safelive.exe;

scan32.exe;

shcfg32.exe;

SmartUp.exe;

SREng.exe;

symlcsvc.exe;

SysSafe.exe;

TrojanDetector.exe;

Trojanwall.exe;

TrojDie.kxp;

UIHost.exe;

UmxAgent.exe;

UmxAttachment.exe;

UmxCfg.exe;

UmxFwHlp.exe;

UmxPol.exe;

UpLive.EXE.exe;

WoptiClean.exe;

zxsweep.exe;

4.修改以下注册表,导致无法显示隐藏文件

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedHiddendword:00000002

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValuedword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccessStartdword:00000004

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauservStartdword:00000004

6.连接网络下载病毒

hxxp://www.webxxx.com/xxx.exe

7.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀

8.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。

9.在硬盘分区生成文件:autorun.inf和随机字母+数字组成的病毒复制体.

10.删除以下注册表项,使用户无法进入安全模式

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航