315安全网论坛社区 » 『反病毒技术交流区』 » 专杀工具 » AV终结者专杀

查看完整版本: AV终结者专杀

悠嘻猴 2008-7-31 13:09

AV终结者专杀

[size=10.5pt][font=宋体][/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]软件名称：AV终结者专杀 [/font][/size]
[size=10.5pt][font=宋体]软件类别：专杀工具 [/font][/size]
[size=10.5pt][font=宋体]软件版本：[/font][/size]
[size=10.5pt][font=宋体] 软件大小：79K [/font][/size]
[size=10.5pt][font=宋体]应用平台：Win2003/WinXP/Win2000[/font][/size]
[size=10.5pt][font=宋体] 更新时间：2007-07-25 18:45:55 [/font][/size]
[size=10.5pt][font=宋体]授权方式：免费软件 [/font][/size]
[size=10.5pt][font=宋体]软件说明[/font][/size][size=10.5pt][/size]

[size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒基本资料[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]中文名:AV终结者[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]病毒类型:木马[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]影响平台：Win 9X/ME/NT/2000/XP/2003… [/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]染毒后的现象[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]1[font=宋体]、毒发作后会有以下现象：[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt](1) [font=宋体]病毒运行后，将创建以下文件：[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]X:\Program Files\Common Files\Microsoft Shared\MSINFO\87FDB667.dll X:\Program Files\Common Files\Microsoft Shared\MSINFO\87FDB667.dat X:\Windows\help\87FDB667.chm [font=宋体]（以上三个文件的属性都具有系统、隐藏和只读属性。）[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]X:\Windows\87FDB667.hlp (X[font=宋体]表示系统分区盘符, 87FDB667为随机文件名, 在不同的机器上文件名不相同) [/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt](2) [font=宋体]有的变种会在每个盘符下创建Autorun.inf文件和一个随机命名的病毒文件87FDB667.exe, 这个Autorun.inf文件的作用是, 不管你是双击盘符、还是单击鼠标右键à打开或者用资源管理器打开都将运行病毒文件。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]注意：AV终结者有很多种变种，当然产生的文件也就具有不同的文件名，像Autorun.inf这样的文件有时也不会产生。 [/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]2[font=宋体]、接网络，并下载并运行很多种木马和病毒文件。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]3[font=宋体]、创建服务，服务名和病毒名相同，实现开机服务自启动。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]4[font=宋体]、关闭所有标题上有“病毒”、“Anti”等的网页，以及窗口上有这些关键字的软件。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]5[font=宋体]、关闭多种杀软、病毒专杀等工具。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]6[font=宋体]、修改注册表键值，如下：[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]（1）删除用于启动安全模式的二个键值，导致系统无法进入安全模式。[/font][/size][size=10.5pt][/size]
[size=10.5pt]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\ Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}[/size][size=10.5pt][/size]
[size=10.5pt]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\ Network\{4D36E967-E325-11CE-BFC1-08002BE10318} [/size][size=10.5pt][/size]

[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]（2）实现映像劫持，即修改以下注册表键，导致只要运行以下所列的文件中的其中一种就会自动运行病毒文件，文件列表如下：[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe [/size][size=10.5pt][/size]
[size=10.5pt]“Debugger” X:\Program Files\Common Files\Microsoft Shared\MSINFO\87FDB667.dat[/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]以下所列的注册表键下都将建立如上的键值：（这里不一一列举）[/font][/size][size=10.5pt][/size]
[size=10.5pt]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe [/size][size=10.5pt][/size]
[size=10.5pt][/size]

[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]7[font=宋体]、修改键值，实现文件隐藏。[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Explorer\Advanced\Folder\Hidden\SHOWALL [/size][size=10.5pt][/size]
[size=10.5pt]“CheckedValue” REG_DWORD 0x00000000 [/size][size=10.5pt][/size]
[size=10.5pt]([font=宋体]正常是“CheckedValue” REG_DWORD 0x00000001)[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]下载地址：[url]http://www.sanlen.com/down/sl_down_88.htm[/url][/font][/size][size=10.5pt][/size]

页: [1]

查看完整版本: AV终结者专杀