七月終結者病毒

七月終結者病毒 英文名(Worm.Win32.Autorun.smn),通過掛馬網站、隨身碟傳播,對360、nod32等多種安全軟體有針對性的破壞或劫持,下載大量木馬病毒,破壞系統的一些功能,具有“機器狗”病毒功能,能夠破壞系統還原。

簡介

1、病毒運行後首先會將自身屬性設定為“系統,隱藏”,並判斷當前同目錄下是否存在autorun.inf檔案,如果存在則打開當前病毒所在的盤符。如果不存在autorun.inf檔案,則設定該病毒本體在重啟計算機後刪除。創建一個名為“MYLASTONE”的互斥量,保證系統只有一個實例運行。

2、查找是否有ekrn.exe進程,如果有則執行如下指令

cmd /c sc delete ekrn

cmd /c taskkill /im ekrn.exe /f

cmd /c taskkill /im egui.exe /f

查找是否有nod32krn.exe進程,如果有則執行如下指令

cmd /c sc delete nod32krn

cmd /c taskkill /im nod32krn.exe /f

cmd /c taskkill /im nod32gui.exe /f

3、創建多個執行緒執行不同操作

執行緒1:在臨時資料夾下釋放一個dll?.tmp的檔案,並獲取其導出表中的Rkdll函式地址,並載入該Dll檔案

執行緒2:檢查%windir%\system32\dllcache\linkinfo.dll是否存在,如果不存在則將%windir%\system32\linkinfo.dll複製到%windir%\system32\dllcache\linkinfo.dll

執行緒3:每隔30秒查找是否有360tray.exe這個進程,如果有則釋放\\Fonts\\safeme.sys和\\Fonts\\safeg.sys這兩個驅動。查找360tray.exe,360Safe.exe,safeboxTray.exe,360safebox.exe的進程,得到它們的pid,並傳給\\Fonts\\safeme.sys這個驅動,該驅動調用MmUnmapViewOfSection函式釋放掉這些進程的記憶體,使他們退出。載入\\Fonts\\safeg.sys這個驅動,並直接向該驅動發IRP刪除C:\Program Files\360safe\safemon\360Tray.exe,D:\Program Files\360safe\safemon\360tray.exe,E:\Program Files\360safe\safemon\360tray.exe。

執行緒4:對avp.exe實行IFEO映像劫持,指向ntsd.exe;釋放驅動\\fonts\\dansl.sys,該驅動為機器狗類驅動,直接在系統底層替換掉%windir%\system32\linkinfo.dll

執行緒5:每隔30秒,向所有分區的根目錄下釋放autorun.inf和RGER.PIF。

檔案功能

創建一個執行緒,結束如下進程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….並對上述大多數進程進行映像劫持。

停止如下服務:

sharedaccess

McShield

KWhatchsvc

KPfwSvc

Kingsoft Internet Security Common Servi

Symantec AntiVirus

norton AntiVirus server

DefWatch

Symantec AntiVirus Drivers Services

Symantec AntiVirus Definition Watcher

McAfee Framework 服務

Norton AntiVirus Server

針對IceSword查找類名為AfxControlBar42s的視窗,先傳送WM_CLOSE再傳送VK_RETURN訊息模擬按回車鍵關閉冰刃。

操作SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall使得顯示隱藏檔案不可用

刪除SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的360Safetray,360Safebox,360Safebox,vptray,ccApp相關鍵值。

刪除SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal和

SYSTEM\CurrentControlSet\Control\SafeBoot\Network破壞安全模式

查找avp.exe,找到後,遍歷並卸載kavbase.kdl和webav.kdl這兩個模組。

下載病毒和其他木馬程式。

相關詞條

熱門詞條

聯絡我們