病毒明星脸，AV模仿秀，揭密“现代”病毒攻击途径

黑色利剑

病毒明星脸，AV模仿秀，揭密“现代”病毒攻击途径

狼又来了，大家的电脑要留神啊！现在一个类似AV终结者的病毒正在通过移动设备大肆传播，该病毒可阻止大量安全软件正常运行，并下载多个盗号木马进入用户电脑，给用户的网络资产安全带来巨大威胁。
这个被命名为“德夫蠕虫”的变种V恶性蠕虫，会在受感染的电脑中进行多个危险操作，如强行关闭多个杀毒软件和windows自带防火墙的保护进程；连接特定的站点，下载大量的病毒；在各个盘符下释放Autorun.inf等病毒文件，试图可通过移动设备进行传播等。

“德夫蠕虫”与AV终结者的破坏方式极为相似，严重威胁用户的电脑系统及网络个人财产的安全，还会导致电脑的安全性能下降，容易受到更多病毒的袭击。
在金山发布的07年上半年安全报告中，AV终结者成功问鼎“毒王”，之后大量病毒纷纷模仿其攻击手段。AV终结者最大的危害就是给其他病毒提供了一条“现代”的病毒攻击途径：

1、破坏用户电脑内的安全软件。病毒进入用户电脑后，试图查找安全软件进程和窗口，并终止，使用户电脑成为“裸机”

2、下载大量病毒、盗号木马。安全软件被关闭后，电脑内的病毒会连接指定站点下载大量其他病毒，比如各类盗号木马

3、盗号木马盗取用户网络财产。盗号木马将在用户毫无防备的情况下，肆意盗取用户的网银、网游、QQ等帐号密码，并转化为金钱，从而实现实现获利。
在经济利益成为病毒驱动力的今天，上述的“现代”病毒攻击途径受到一些病毒制作者的青睐，在病毒背后已经形成了一条完整的产业链，制造、传播、盗窃账户信息、第三方平台销赃、洗钱，分工明确，形成了一个非常完善的流水性作业的程序。
建议广大用户，面对“现代”病毒攻击手段，用户需养成良好的网络使用习惯，提高自身的网络安全意识。此外，金山正在全国范围内开展大型暑期促销以及“安全连城”电脑大型“义诊”行动，用户可登陆www.duba.net了解更多相关信息。
附：病毒分析报告

Worm.Delf.18944.5C1FCD93.v

威胁级别：★★★
病毒类型：Win32病毒
影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:

这是一个通过移动设备传播的蠕虫病毒。病毒通过添加注册表系统服务项与自动运行项以跟随系统启动。连接网络下载病毒体到本机运行，下载的病毒体多为网络游戏盗号程序。
并试图生成 Autorun.inf文件从而调用病毒体。关闭杀毒软件和系统防火墙，终止360安全卫士、木马克星等安全软件。

1.在硬盘每个分区生成文件
{盘符}:\autorun.inf
{盘符}:\IO.pif
另外，释放
%sys32dir%\DirectX9.dll
%commonfiles%\Services\svchost.exe

2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2bf41073-b2b1-21c1-b5c1-0701f4155588}

3.启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run    @    "C:\Program Files\Common Files\Services\svchost.exe"


4.使用net命令关闭杀毒软件和系统防火墙
Net Stop Norton Antivirus Auto Protect Service
Net Stop mcshield
net stop "Windows Firewall/Internet Connection Sharing (ICS)"
net stop System Restore Service
Windows Security Center

5.试图查找以下安全软件进程和窗口，并终止
360tray.exe（360安全卫士）
360safe.exe（360安全卫士）/Q360SafeMainClass
噬菌体/TForm1
木马克星
WoptiClean.exe（Windows优化大师流氓软件清理）
EGHOST.EXE
Iparmor.exe（木马克星）
MAILMON.EXE（毒霸邮件监控）
KAVPFW.EXE（毒霸防火墙）
RogueCleaner.exe（恶意软件清理专家）
regedit.exe（注册表编辑器）
msconfig.exe（系统配置实用程序）
taskgmr.exe（任务管理器）
瑞星防火墙下载版/rfwmain.exe（瑞星防火墙）
NOD32KrnSvcWndClass（NOD32杀毒软件）
nod32kui.exe（NOD32杀毒软件）
Symantec AntiVirus 企业版
LANDeskVPC32
TfLockDownMain
ZoneAlarm/ZAFrameWnd
天网防火墙个人版/企业版/Tapplication/TFireWall_From

6.从网络下载隐蔽软件至用户计算机
hxxp://ip.591xxxx.com.cn/fz/xxx.exe

7.自动运行以下软件，并以隐蔽方式在后台运行
MSMSGS.EXE
QQ.EXE
MSMSGS.EXE
FLASHGET.EXE
THUNDER5.EXE
IEXPLORE.EXE
赶快告诉身边的朋友，小心被吃掉！别急啊，记得给我顶下帖！！！

sharkkong

危险年年有，今年特别多啊。

sb

网络永远没有安全的时候

微点卫士

这病毒在后台运行这么多东西,我256MB的内存肯定要卡死的