对专门破坏杀毒软件的病毒AV终结者的深层次分析

显示全部楼层 · 发表于 2007-6-12 09:59:04

对专门破坏杀毒软件的病毒AV终结者的深层次分析

我最近中了AV终结者，苦不堪言，正一筹莫展之际，来到了金山毒霸铁军的blog，看到了这篇深层次的分析文章，真是及时雨啊，问题迅速解决了J。在这里谢谢金山毒霸。最近破坏杀毒软件的AV终结者闹的厉害，我把这篇好文转给大家，我为人人，人人为我^_^。

今天刚得到的新消息，中国证券网挂马了。我们从那个站抓到个新病毒。

分析报告在这里http://vi.duba.net/index.php?CODE=02&virusid=38990&action=viewgraph

有关AV终结者病毒的相关参考信息，大家可以在这个地址仔细看，

http://hi.baidu.com/litiejun/blog/item/38fc223b17282eeb14cecb62.html

算了，为了方便大家，我还是把地址文章贴出来吧，在帖子的后面J 我为人人，人人为我~J

AV终结者分析报告：这个病毒就是有网友提到的8位随机文件名的病毒程序。该病毒利用了IFEO重定向劫持技术，使大量的杀毒软件和安全相关工具无法运行；会破坏安全模式，使中毒用户无法在安全模式下查杀病毒；会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号；能通过可移动存储介质传播；病毒还会关闭windows安全中心和windows防火墙，以降低系统安全性。

以下是详细分析报告，金山毒霸已经推出了病毒专杀工具，该工具同时可以帮你修复被映像劫持的注册表，在遇到其它病毒有类似现象时，也可以使用。请访问这里下载。

1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004

显示全部楼层 · 发表于 2007-6-12 09:59:32

3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。

被劫持的软件包括：
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
KVStub.kxp;
kvupload.exe;
kvwsc.exe;
KvXP.kxp;
KvXP_1.kxp;
KWatch.exe;
KWatch9x.exe;
KWatchX.exe;
loaddll.exe;
MagicSet.exe;
mcconsol.exe;
mmqczj.exe;
mmsk.exe;
NAVSetup.exe;
nod32krn.exe;
nod32kui.exe;
PFW.exe;
PFWLiveUpdate.exe;
QHSET.exe;
Ras.exe;
Rav.exe;
RavMon.exe;
RavMonD.exe;
RavStub.exe;
RavTask.exe;
RegClean.exe;
rfwcfg.exe;
RfwMain.exe;
rfwProxy.exe;
rfwsrv.exe;
RsAgent.exe;
Rsaupd.exe;
runiep.exe;
safelive.exe;
scan32.exe;
shcfg32.exe;
SmartUp.exe;
SREng.exe;
symlcsvc.exe;
SysSafe.exe;
TrojanDetector.exe;
Trojanwall.exe;
TrojDie.kxp;
UIHost.exe;
UmxAgent.exe;
UmxAttachment.exe;
UmxCfg.exe;
UmxFwHlp.exe;
UmxPol.exe;
UpLive.EXE.exe;
WoptiClean.exe;
zxsweep.exe;

4.修改以下注册表，导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

6.删除以下注册表项，使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
...

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

11.隐藏病毒进程，但是可以通过结束桌面进程显示出来

12.在硬盘分区生成文件：autorun.inf 和随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

看完分析之后，大家可以来“这里”来下载专杀工具：
http://zhuansha.duba.net/259.shtml

这个专杀工具最大的好处是帮助修复映像、修复被破坏的安全模式，以及隐藏文件不能正常显示的问题（这三个问题是今年病毒最喜欢玩儿的手法）

对于不会自己动手来修改注册表，用AV终结者专杀就搞定了。补充说明一下，因为类似AV终结者的病毒较多，所以一方面要用这个专杀修复映像劫持、修复被破坏的安全模式，以及隐藏文件不能正常显示的故障，另一方面，我们要注意使用杀毒软件进行实时监控和防范，金山毒霸最新的更新程序就可以很好的防范。

显示全部楼层 · 发表于 2007-6-12 21:28:15

不错，学习了，正好制定规则来防它

显示全部楼层 · 发表于 2007-6-13 19:33:33

问楼上怎么添加规则啊，我注册表里面没有那些建，如何监控啊???

显示全部楼层 · 发表于 2007-6-25 18:54:47

有疑问
望回复~~~

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

TIMPlatform.exe网上说是qq的一个进程，限制qq登录个数的，怎么会是病毒呢？？

显示全部楼层 · 发表于 2007-6-26 11:51:02

现在已经有很多人饱受这个病毒的折磨了，真不知道编辑病毒的人是不是和杀毒软件有仇啊

显示全部楼层 · 发表于 2007-6-26 11:51:31

只要是杀软就用不了，上网查一下，“毒”啊什么的就会自动关闭浏览，恐怖啊

显示全部楼层 · 发表于 2007-6-26 11:52:01

楼主的东西很详细啊，及时的把这个病毒分析，不错不错

显示全部楼层 · 发表于 2007-6-26 11:52:17

谢谢楼主了啊，以后多多指教啊！！！

显示全部楼层 · 发表于 2007-6-28 10:18:02

毒发作了用软件能不能反它给杀了

[分享] 对专门破坏杀毒软件的病毒AV终结者的深层次分析

评分