基本概念
AV終結者“AV終結者”即"帕蟲"是一系列反擊防毒軟體,破壞系統安全模式、植入木馬下載器的病毒,
它指的是一批具備如下破壞性的病毒、木馬和蠕蟲。“AV終結者”名稱中的“AV”即為英文“反病毒”(An-ti-virus)的縮寫。它能破壞大量的防毒軟體和個人防火牆的正常監控和保護功能,導致用戶電腦的安全性能下降,容易受到病毒的侵襲。同時它會下載並運行其他盜號病毒和惡意程式,嚴重威脅到用戶的網路個人財產。此外,它還會造成電腦無法進入安全模式,並可通過可移動磁碟傳播。
目前該病毒已經衍生多個新變種,有可能在網際網路上大範圍傳播。“AV終結者”設計中最惡毒的一點是,用戶即使重裝作業系統也無法解決問題:格式化系統盤重裝後很容易被再次感染。用戶格式化後,只要雙擊其他盤符,病毒將再次運行。“AV終結者”會使用戶電腦的安全防禦體系被徹底摧毀,安全性幾乎為零。它還自動連線到某網站,下載數百種木馬病毒及各類盜號木馬、廣告木馬、風險程式,在用戶電腦毫無抵抗力的情況下,魚貫而來,用戶的網銀、網遊、QQ賬號密碼以及機密檔案都處於極度危險之中。
傳播途徑
“AV終結者”的重要傳播途徑是隨身碟等移動存儲介質。它通過隨身碟、移動硬碟的自動播放功能傳播,建議用戶暫時關閉電腦的這一功能。用戶近期一定要注意隨身碟使用安全,不要在可疑電腦上使用隨身碟,以免自己的電腦受到傳染。
危害介紹
AV終結者(1)禁用所有防毒軟體以相關安全工具,讓用戶電腦失去安全保障。
(2)破壞安全模式,致使用戶根本無法進入安全模式清除病毒。
(3)強行關閉帶有病毒字樣的網頁,只要在網頁中輸入“病毒”相關字樣,網頁遂被強行關閉,即使是一些安全論壇也無法登入,用戶無法通過網路尋求解決辦法。
(4)在各磁碟根目錄創建可自動運行的exe程式和autorun.inf檔案,一般用戶重灌系統後,會習慣性的雙擊訪問其他盤符,病毒將再次被運行。
例子:鬼影病毒
傳播方式
AV終結者該病毒利用了IFEO重定向劫持技術,使大量的防毒軟體和安全相關工具無法運行;會破壞安全模式,使中毒用戶無法在安全模式下查殺病毒;會下載大量病毒到用戶計算機來盜取用戶有價值的信息和某些帳號;能通過可移動存儲介質傳播。
主要傳授方式如下:
1.通過某個視頻專用播放器捆綁傳播。
2.通過網路遊戲外掛捆綁病毒傳播。
3.通過惡意軟體(遊戲)下載站的下載資源。
病毒現象
1.生成很多8位數字或字母隨機命名的病毒程式檔案,並在電腦開機時自動運行。
2.綁架安全軟體,中毒後會發現幾乎所有防毒軟體,系統管理工具,反間諜軟體不能正常啟動。即使手動刪除了病毒程式,下次啟動這些軟體時,還會報錯。
3.不能正常顯示隱藏檔案,其目的是更好的隱藏自身不被發現。
“AV終結者”破壞防火牆4.禁用windows自動更新和Windows防火牆,
這樣木馬下載器工作時,就不會有任何提示視窗彈出來。為該病毒的下一步破壞打開方便之門。
5.破壞系統安全模式,使得用戶不能啟動系統到安全模式來維護和修復。
6.當前活動視窗中有防毒、安全、社區相關的關鍵字時,病毒會關閉這些視窗。假如你想通過瀏覽器搜尋有關病毒的關鍵字,瀏覽器視窗會自動關閉。
7.在本地硬碟、隨身碟或移動硬碟生成autorun.inf和相應的病毒程式檔案,通過自動播放功能進行傳播。這裡要注意的是,很多用戶格式化系統分區後重裝,訪問其它磁碟,立即再次中毒,用戶會感覺這病毒格式化也不管用。
8.病毒程式的最終目的是下載更多木馬、後門程式。用戶最後受損失的情況取決於這些木馬和後門程式。
防範措施
對於病毒而言,良好的防範措施,好過中毒之後再絞盡腦汁去尋找查殺方法,而且一旦感染該病毒,清除過程相當複雜,因此,在採訪中,金山、江民、瑞星等幾家公司的反病毒專家們向記者提供了針對該病毒防範措施:
1.保管好自己的隨身碟,MP3、移動硬碟等移動儲存的使用,當外來隨身碟接入電腦時,請先不要急於雙擊打開,一定要先經過防毒處理,建議採用具有隨身碟病毒免疫功能的防毒軟體,如KV2007獨有的隨身碟盾技術,可以免疫所有隨身碟病毒通過雙擊隨身碟時運行。
2.給系統打好補丁程式,尤其是MS06-014和MS07-17這兩個補丁,目前絕大部分的網頁木馬都是通過這兩個漏洞入侵到計算機裡面的。
3.即時更新防毒軟體病毒庫,做到定時升級,定時防毒。
4.安裝軟體要到正規網站下載,避免軟體安裝包被捆綁進木馬病毒。
5.關閉windows的自動播放功能。
病毒解決方案
因為這個病毒會攻擊防毒軟體,已經中毒的電腦防毒軟體沒法正常啟動,雙擊沒反應,因而這時無法用防毒軟體來清除;利用手動解決也相當困難,並且,AV終結者是一批病毒,不能簡單的通過分析報告來人工刪除。
推薦的清除步驟如下:
1.在能正常上網的電腦上下載AV終結者病毒專殺工具。
2.在正常的電腦上禁止自動播放功能,以避免通過插入隨身碟或移動硬碟而被病毒感染。禁止方法參考方案附屬檔案:
把AV終結者專殺工具從正常的電腦複製到隨身碟或移動硬碟上,然後再複製到中毒的電腦上。
3.執行AV終結者專殺工具,清除已知的病毒,修復被系統配置。
(註:AV終結者專殺工具的重要功能是修復被破壞的系統,包括修復映像劫持;修復被破壞的安全模式;修復隱藏資料夾的正常顯示和刪除各磁碟分區的自動播放配置。)
4.不要立即重啟電腦,然後啟動防毒軟體,升級病毒庫,進行全盤掃描。以清除木馬下載器下載的其它病毒。
手動清除辦法
1.到網上下載IceSword工具,並將該工具改名,如改成abc.exe名稱,這樣就可以突破病毒進程對該工具的禁止。然後雙擊打開IceSword工具,結束一個8位數字的EXE檔案的進程,有時可能無該進程。
2.利用IceSword的檔案管理功能,展開到C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\下,刪除2個8位隨機數字的檔案,其擴展名分別為:dat和dll。再到%windir%\help\目錄下,刪除同名的.hlp或者同名的.chm檔案,該檔案為系統幫助檔案圖示。
3.然後到各個硬碟根目錄下面刪除Autorun.inf檔案和可疑的8位數字檔案,注意,不要直接雙擊打開各個硬碟分區,而應該利用Windows資源管理器左邊的樹狀目錄來瀏覽。有時電腦中毒後可能無法查看隱藏檔案,這時可以利用WinRar軟體的檔案管理功能來瀏覽檔案和進行刪除操作。
4.利用IceSword的註冊表管理功能,展開註冊表項到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions],刪除裡面的IFEO劫持項。
當完成以上操作之後,就可以安裝或打開防毒軟體了,然後升級防毒軟體到最新的病毒庫,對電腦進行全盤防毒。(手動清除辦法由江民反病毒專家提供 )
病毒分析
1.生成檔案
%programfiles%\CommonFiles\MicrosoftShared\MSInfo\{隨機8位字母+數字名字}.dat
%programfiles%\CommonFiles\MicrosoftShared\MSInfo\{隨機8位字母+數字名字}.dll
%windir%\{隨機8位字母+數字名字}.hlp
%windir%\Help\{隨機8位字母+數字名字}.chm
也有可能生成如下檔案
%sys32dir%\{隨機字母}.exe
替換%sys32dir%\verclsid.exe檔案
2.生成以下註冊表項來達到使病毒隨系統啟動而啟動的目的
HKEY_CLASSES_ROOT\CLSID\"隨機CLSID"\\InprocServer32"病毒檔案全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機CLSID""病毒檔案全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks"生成的隨機CLSID"""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"隨機字元串""病毒檔案全路徑"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvcStart
dword:00000004
3.映像劫持
通過在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
ImageFileExecutionOptions下添加註冊表項來進行檔案映像劫持,可阻止大量安全軟體及系統管理軟體運行,並執行病毒體。
被劫持的軟體包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………
4.修改以下註冊表,導致無法顯示隱藏檔案
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
AdvancedHiddendword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALLCheckedValuedword:00000000
5、修改以下服務的啟動類型來禁止Windows的自更新和系統自帶的防火牆
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccessStartdword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
wuauservStartdword:00000004
6.刪除以下註冊表項,使用戶無法進入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
7.連線網路下載病毒
hxxp://http://www.hudong.com/wiki/www.webxxx.com/xxx.exe
8.關閉防毒軟體實時監控視窗,如瑞星、卡巴,通過自動點擊"跳過"按鈕來逃過查殺
9.嘗試關閉包含以下關鍵字視窗
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木馬
社區
aswBoot
…………
10.注入Explorer.exe和TIMPlatform.exe反彈連線,以逃過防火牆的內牆的審核。
11.隱藏病毒進程,但是可以通過結束桌面進程顯示出來。
12.在硬碟分區生成檔案:autorun.inf和隨機字母+數字組成的病毒複製體,並修改“NoDriveTypeAutoRun”使病毒可以隨可移動存儲介質傳播。
新變種
2010年12月13日訊息,金山網路安全中心近日捕獲“AV終結者”最新變種,數據顯示,僅僅6日至9日三天時間,就有超過10萬台電腦感染了AV終結者最新變種,日均感染量破3萬,且有大規模蔓延之勢。
“AV終結者”死灰復燃,又出現了一個改進型。該改進型“AV終結者”採用了目前最流行的“色情網站+專用播放器”的傳播形式,即黑客首先會通過黑帽SEO手段誘騙用戶進入不良視頻網站,並聲稱只有下載所謂“專用播放器”才能觀看視頻,而木馬病毒就藏在這個播放器中。
這款改進型的“AV終結者”極具破壞性。首先,病毒程式會阻止主流安全軟體的安裝和正常運行;其次,會劫持瀏覽器主頁,並在桌面上創建無法刪除的圖示;第三,會感染dsound.dll、mshtml.dll等系統檔案,盜取熱門網遊WOW、DNF、問道、天龍八部、夢幻西遊等的賬號;第四,會彈出偽裝的騰訊QQ訊息,進行釣魚欺詐攻擊。而更為惡劣的是,該病毒的一個分裂還可能導致計算機藍屏,只有重新安裝系統才能解決。
