AV终结者
的有关信息介绍如下:编辑本段AV终结者
“AV终结者”即”帕虫”是一系列反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(Anti-Virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。
AV终结者最彻底解决方案
病毒名称:AV终结者
传播方式:内存,windows漏洞
破坏方式:进程插入
生成病毒文件名:随机8位字符
自我保护:应用程序绑架
病毒目的:从网络上下载大量木马
危害等级:★★★★★
近日网络上出现了一种破坏力及强的病毒“AV终结者”,不到一个月时间,变种就已达到数百个之多,波及人群超过十几万人,这个病毒非常变态,一旦感染就很难清楚。
“AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,它是通过闪存等存储介质或者注入服务器来实现的。
一、什么是“AV终结者”
“AV终结者”病毒运行后会在系统中生成如下几个文件:C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dll、C:\windows\随机生成病毒名.chm
“AV终结者”的病毒名是由大写字母+数字随机组合而成,其长度为8位,可以说生成同名病毒的概率是很低的。因此即使我们知道了这是病毒生成的文件,也别指望通过病毒名在网络上找到病毒的清楚方法。
“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法,不少用户也懂得删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项里”,想显示隐藏文件时,可以发现这里已经被病毒给禁用了。
针对杀毒软件的攻击,是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时,病毒就会乘胜追击,通过一种“映象劫持”技术将杀毒软件彻底打入死牢。
“映象劫持”会在注册表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后,病毒还会在里面建立一个Debugger键,键值为“c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时,运行的其实是病毒程序。
为了避免在“任务管理器”中露出破绽,病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中,这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作,例如你想手动清楚病毒,修改注册表,病毒没隔一段时间就会把注册表改回去,让你百费劲。另一个作用是监视IE窗口,发现用户搜索病毒资料时,立即关闭网页。
此外,病毒还会破坏windows防火墙和安全模式,封堵用户的后路。最重要的是,病毒会从网络上下载大量盗号木马,盗取用户的游戏帐户信息,这也是它的真正目的。
二、彻底清楚“AV终结者”
1、运行“任务管理器”,结束“explorer.exe”进程,单击“任务管理器的”文件菜单,选择“新建任务”,输入“regedit”,找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,将Checkedvalue的的键值改为“1”。
2、在“regedit”中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,将以杀毒软件和安全工具命名的项删除。
3、在“资源管理器”中单击“工具”——“文件夹选项”,切换到“查看”,取消“隐藏受保护的操作系统文件”前面的勾,然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒文件。删除其他分区中的病毒,注意不要双击进入盘符,而要用右键点击进入。
三、预防“AV终结者”
首先,要禁止自动播放功能,并能及时更新系统补丁,尤其是MS06-014和MS07-017这两个补丁。
其次,要限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下:开始——运行,输入regedit32,找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,右击此选项,在弹出的菜单中选择“权限”,然后把administrors用户组和users用户组的权限全部取消即可。最后,要限制 SAFEBOOT的读写权,达到限制“AV终极者”修改或删除Drives,保护安全模式正常运行的目的。操作方法如下:同样是在32位注册表里找到 HKEY-LOCAL-MACHINE\SYSTEM\contorlset001\control\safeboot\network\{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\,将administors用户组和users用户组的权限全部取消即可。
还有专杀工具
到
里去下
编辑本段传播途径
“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播,建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。
编辑本段病毒特征
这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。
编辑本段病毒现象
·1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
·2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
·3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
·4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
·5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。
·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
·9.病毒运行后,鼠标右击菜单以及下拉菜单选项,会在1到两秒钟时间后,自动选择最后一个选项,不过可以使用快捷方式组合。
编辑本段防范措施
对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施:
1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。
2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。
4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。
5.关闭windows的自动播放功能。
编辑本段病毒解决方案
方法一:
因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下:
1. 在能正常上网的电脑上到
下载AV终结者病毒专杀工具。
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
方法二:
去黑联盟或黑客动画吧,下载一个AV生成器,运行后(注意别单击生成),选“卸载本地服务端”。
编辑本段手动清除办法
1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供
编辑本段病毒分析
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start
dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………
4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
7.连接网络下载病毒
hxxp://
8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木马
社区
aswBoot
…………
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。
12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
编辑本段专杀工具
金山AV终结者专杀工具