强病毒AV终结者新的变种
专业的人做专业的事情,强病毒AV终结者又有了新的变种!而且似乎强到了逆天!居然可以Ring3级技术来删除AV软件的关键程序,汗颜。不过俗话说"魔高一尺,道高一丈",金山的病毒专家铁军还是找到了对付的办法,下面演示给大家哈。
截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
以下是详细分析报告:
病毒名: Win32.Troj.AvKiller.hd.212992
病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程
**释放文件**
C:\WINDOWS\system32\nfxphzn.jbt 该文件为kernel32.dll的拷贝
c:\WINDOWS\system32\yqia.btl 该文件为病毒自身的拷贝
**下载文件**
w3.hao5555.com/v3/pic.bmp
w3.hao5555.com/v3/Riched32.dll
w3.hao5555.com/v3/search.asp
w3.hao5555.com/bd.dll
**修改的注册表**
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]
@="C:\\WINDOWS\\system32\\yqia.btl"
"ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001
**挂接函数**
RegEnumValueA
RegEnumValueW -- 目的为隐藏病毒添加的注册表键值
CreateFileA
CreateFileW -- 目的为保护病毒释放的文件
**卸载组件**
regsvr32.exe /u /s wshom.ocx
病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数
病毒注入系统进程
病毒注入系统的其他进程后
1> 创建一个线程来保护其添加的注册表键值不被删除
2> 结束杀毒软件进程
3> 通过将ZwCreateFile的前两个字节填0加以破坏
4> 并试图删除以下文件,(主要是杀毒软件和流氓软件清除工具的驱动、程序文件)
"mmskskin.dll"
"KKClean.dll"
"VirUnk.def"
"AntiActi.dll"
"Rsaupd.exe"
"Iereset.dll"
"Libclsid.dat"
"KNetWch.SYS"
"CleanHis.dll"
"WoptiClean.sys"
"kakalib.def"
"libdll.dat"
"kkinst.ini"
"KASearch.DLL"
"KAVBootC.sys"
"Ras.exe"
"iehelp.exe"
"trojandetector.exe"
"KAConfig.DLL"
"KAVPassp.DLL"
"hsfw.dll"
**修改hosts文件为**
hosts文件被修改后,会影响很多杀毒软件和反流氓软件的升级,影响访问相关网站
(注意一下61.152.244.167这个IP,下面发现众多流量很高的站点被劫持到61.152.244.167,可以尝试一下在IE地址栏中输入这个IP,你发现去了cn.yahoo.com)
难道这个病毒在替yahoo做流量?我是不相信的,马云成功在望,不会采取这种流氓手段劫持其它网站的流量,我怀疑是栽赃。或者,中国yahoo的网盟政策被利用了。
(此处隐去一些IP和网站)
寻找“罪恶的根源”
查询61.152.244.167,位于上海电信机房,whois信息如下:
WHOIS results for: 61.152.244.167
% Joint Whois
% This server accepts single ASN, IPv4 or IPv6 queries
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 61.152.244.160 - 61.152.244.191
netname: ZhongXin
descr: ZhongXin
country: CN
admin-c: XCM3-AP
tech-c: HY174-AP
mnt-by: MAINT-CHINANET-SH
changed: coconut-huang@edatahome.com 20030423
status: ASSIGNED NON-PORTABLE
source: APNIC
person: Xu Chun Ming
address: 15F,618 East Yanan Road,Shanghai 200001
country: CN
phone: +86-21-50600014
fax-no: +86-21-53854142
e-mail: springknow@online.sh.cn
nic-hdl: XCM3-AP
mnt-by: MAINT-CN-SHTELE-DATAIDC
changed: coconut-huang@edatahome.com 20021007
source: APNIC
person: Huang Yi
address: 15F,618 East Yanan Road,Shanghai 200001
country: CN
phone: +86-21-50600014
fax-no: +86-21-53854142
e-mail: coconut-huang@edatahome.com
nic-hdl: HY174-AP
mnt-by: MAINT-CN-SHTELE-DATAIDC
changed: coconut-huang@edatahome.com 20021007
source: APNIC
手动解决该病毒的办法
手动解决该病毒的办法:
使用金山清理专家,将下列文件添加到彻底删除的列表,粉碎掉,然后立即重启电脑。
C:\WINDOWS\system32\nfxphzn.jbt
c:\WINDOWS\system32\yqia.btl
重启电脑,使用金山清理专家全面检测修复功能,将下面的系统执行挂钩项修复掉。
**修改的注册表**
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]
@="C:\\WINDOWS\\system32\\yqia.btl"
"ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001
手动编辑hosts文件,对多数用户来说,在这里:
c:\windows\system32\drivers\etc\hosts
除保留127.0.0.1 localhost这一行外,其它内容全部清空。
网友评论