内容摘要:近期截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
近期截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
以下是详细分析报告:
病毒名:Win32.Troj.AvKiller.hd.212992
病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程
**释放文件**
C:WINDOWSsystem32
fxphzn.jbt该文件为kernel32.dll的拷贝
c:WINDOWSsystem32yqia.btl该文件为病毒自身的拷贝
**下载文件**
w3.hao5555.com/v3/pic.bmp
w3.hao5555.com/v3/Riched32.dll
w3.hao5555.com/v3/search.asp
w3.hao5555.com/bd.dll
**修改的注册表**
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
[HKEY_CLASSES_ROOTCLSID{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}InprocServer32]
@="C:WINDOWSsystem32yqia.btl""ThreadingModel"="Apartment"
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem]
"DisableCMD"=dword:00000001
**挂接函数**
RegEnumValueA
RegEnumValueW--目的为隐藏病毒添加的注册表键值
CreateFileA
CreateFileW--目的为保护病毒释放的文件
**卸载组件**
regsvr32.exe/u/swshom.ocx
病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数,病毒注入系统的其他进程后,
来源:IT专家网 作者:李铁军 责编:豆豆技术应用
- 金山毒霸2008杀毒防护软件试用手记
- Gdwli32盗号木马专杀工具
- 魔域官方推出 “魔域木马专杀工具”
- “44939”木马爆发 360安全卫士发布专杀工具
- 360安全卫士U盘病毒专杀工具 v1.9
- 专杀流行病毒 新版超级巡警震撼登场
- 诺顿杀毒软件再曝误杀事件
- 免费使用杀毒软件 丰富奖品惊喜连连
- 瑞星08杀毒软件被指比病毒危险
- 杀毒软件互联网化成趋势 “免费”大旗齐飘扬