超級AV終結者

超級av終結者

病毒名稱(中文):超級AV終結者

病毒名稱(英文全稱):Win32.TrojDownloader. NsPassT. bm.50688

病毒別名:要你命三千,對抗型大殺器,混血魔頭

威脅級別: ★★★☆☆

病毒長度:50688

影響系統:Win9x WindowsMe WinNT Win2000 WinXP Win2003

導出函式explore

獲取ShellExecuteA，並調用”explorer open .”打開當前目錄。用於每個驅動器下打開目錄。

導出函式SchedServiceMain、ServiceMain、SvchostEntry_W32Time

a)檢測調試器：查找進程OllyICE.exe，OllyDbg.exe，ImportREC.exe，C32Asm.exe，LordPE.exe，PEditor.exe等進程，如果存在則退出，不存在則調用IsDebuggerPresent，檢測當前是否被調試，是的話退出。

b)創建NSDownLoader20Vip02互斥體。

c)關卡巴進程。

d)釋放資源102到%sys32dir%\Nskhelper2.sys,並創建服務NsRk1，啟動,來恢復SSDT。

e)掃描當前系統進程列表，發現有安全軟體進程，就調用驅動中的ZwTerminateProcess將它關閉。

f)映像劫持以上進程，並指svchost.exe.

g)獲取當前機子的MAC地址和作業系統版本及運行時間，向指定網址發信。

h)解密網址，下載裡面的病毒到%temp%目錄，並依次運行。

i)遍歷驅動器，在非a:\和b:\驅動器根目錄下創建autorun.inf,先判斷autorun.inf是否已存在檔案或資料夾，存在先刪除，在創建，並將自身複製過去命名為system.dll，autorun.inf中調用system.dll的導出函式explore.

k)修改hosts檔案，禁止許多安全軟體網址。

導出函式DllEntryPoint

a)判斷當前是否注入svchost.exe,且時間是否在2008-12-1以前，是的話跳入主功能執行緒，否則不注入。同導出函式SchedServiceMain、ServiceMain、SvchostEntry_W32Time。

b)若不是，釋放資源102回復ssdt，關閉殺軟進程，然後ring3關卡巴，自己創建一個svchost.exe進程，將自身創建遠程執行緒注入。

102sys(Nskhelper2.sys)恢復SSDT，並結束指定進程。