Trojan.Win32.AntiAV.n(“反病毒終結者下載器N”)是一個木馬病毒。該病毒運行後會在系統目錄下建立一個以當前系統時間為名稱的OCX檔案,修改註冊表實現隨系統啟動,並且將自身注入到系統正常進程中,修改系統時間,並試圖關閉多種安全防護軟體。主要影響的系統為Win 9X/ME/NT/2000/XP/2003。
基本介紹
- 中文名:反病毒終結者下載器N
- 外文名:Trojan.Win32.AntiAV.n
- 病毒類型:木馬釋放器,通過網路傳播
- 危險級別:★★★
概述,詳細說明,病毒查找的檔案,安全建議,
概述
Trojan.Win32.AntiAV.n(“反病毒終結者下載器N”)
影響系統:Win 9X/ME/NT/2000/XP/2003。
該病毒還會修改系統的已分享資料夾,將用戶的信息泄露出去;運行後會將自身載入到Explorer進程中,並對註冊表進行修改,防止病毒自身被刪除。在用戶的IE收藏夾選單中建立一個連結,通過欺騙用戶點擊來增加指定網站的點擊率,當已經感染病毒的電腦連線到網路時,病毒會從黑客指定的網站下載新的病毒,還會自動點擊指定的連結。
詳細說明
1、病毒運行後,會在system32目錄下釋放一個OCX檔案,檔案名稱隨機。
病毒生成檔案名稱的方法:用GetLocalTime得到當前系統時間,以月份跟得到的秒數為檔案名稱,擴展名為.OCX。
我們在分析的時候得到的是12月7秒,檔案名稱為:127.OCX。
2、利用rundll32.exe來載入自己釋放的檔案。並把rundll32.exe %system32%127.ocx加入到啟動項。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Load = rundll32.exe %sysetm32%127.ocx
3、等1.5秒後把自己刪除。
病毒自刪除方法比較特別,先用DeleteFileA去檢查病毒本身是否已被刪除,然後用MoetFile把自己移動到資源回收筒,在用MoveFile把資源回收筒中的病毒檔案加入到重啟後刪除列表中。
4、OCX檔案載入成功後,病毒利用全局鉤子,在每一個進程中插入一個127.ocx。
A:HOOK個每個進程中的API來隱藏自己
HOOK的API有
RegOpenKeyExA
CreateFileA
CreateFileW
RegEnumValueA
RegEnumValueW
從HOOK的API可以看出,用戶是無法在正常方式下,查看到病毒的檔案,和在註冊表中加入的內容。
B:對AVP殺軟的情況,病毒使用的手法:
當檢查到系統中是否AVP的進程時,把當前系統的時間修改為:現在的時間減去10年
如:現在是2007 被病毒改後,就會是1997年,這樣會使AVP失效。
C:對於一些反流氓軟體的情況,病毒使用的手法:
當有程式要運行時,病毒會檢查當前運行的檔案名稱含有以下列表中的檔案時,會把當前運行檔案的進程結束,並且把檔案移動到Windows的TEMP目錄下改名__.%s.tmp。
病毒會查找下面檔案,當查找到檔案後,會把檔案移動到TEMP目錄下改名為__%s.tmp.
病毒查找的檔案
mmskskin.dll
KKClean.dll
VirUnk.def
ntiActi.dll
Rsaupd.exe
Iereset.dll
KASearch.DLL
KAVBootC.sys
Ras. exe
iehelp.exe
trojandetector.exe
KAConfig.DLL
KAVPassp.DLL
hsfw.dll
ollydbg.ini
Libclsid.dat
KNetWch.SYS
CleanHis.dll
WoptiClean.sys
kakalib.def
libdll.dat
kkinst.ini
wopticlean
360safe
D:對於其它殺軟體的處理
遍歷檔案時,同時獲得檔案的版本信息,當發現下列住處時,會把檔案刪除
Kingsoft Antivirus
Kingsoft Antispyware
TrojanDetector
Micropoint
Kingsoft
Duba
E:修改檔案的訪問根權。
病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式,把磁碟上檔案設定為共享,讓所有人可以使用檔案。
安全建議
3 不瀏覽不良網站,不隨意下載安裝可疑外掛程式。
4 不接收QQ、MSN、Email等傳來的可疑檔案。
6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中,可以有效保護密碼安全。
清除辦法:
瑞星防毒軟體清除辦法:
安裝瑞星防毒軟體,升級到20.20.30版以上,對電腦進行全盤掃描,按照軟體提示進行操作,即可徹底查殺
