AV終結者最徹底解決方案
病毒名稱:AV終結者
傳播方式:內存,windows漏洞
破壞方式:進程插入
生成病毒文件名:隨機8位字符
自我保護:應用程序綁架
病毒目的:從網絡上下載大量木馬
危害等級:★★★★★
近日網絡上出現了壹種破壞力及強的病毒“AV終結者”,不到壹個月時間,變種就已達到數百個之多,波及人群超過十幾萬人,這個病毒非常變態,壹旦感染就很難清楚。
“AV終結者”是由隨機8位數字和字母組合而成的病毒,是閃存寄生病毒,它是通過閃存等存儲介質或者註入服務器來實現的。
壹、什麽是“AV終結者”
“AV終結者”病毒運行後會在系統中生成如下幾個文件:C:\program files\common files\microsoft shared\msinfo\隨機生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\隨機生成病毒名.dll、C:\windows\隨機生成病毒名.chm
“AV終結者”的病毒名是由大寫字母+數字隨機組合而成,其長度為8位,可以說生成同名病毒的概率是很低的。因此即使我們知道了這是病毒生成的文件,也別指望通過病毒名在網絡上找到病毒的清楚方法。
“AV終結者”病毒運行後會在本地磁盤和移動磁盤中復制病毒文件和anuorun.inf文件,當用戶雙擊盤符時就會激活病毒,即使是重裝系統也是無法將病毒徹底清楚的。這是目前很多病毒熱衷的傳播方法,不少用戶也懂得刪除病毒生成的anuorun.inf文件,但是當我們進入“文件夾選項裏”,想顯示隱藏文件時,可以發現這裏已經被病毒給禁用了。
針對殺毒軟件的攻擊,是“AV終結者”的特點。病毒會終止大部分的殺毒軟件和安全工具的進程。國內絕大多數的殺毒軟件和安全工具都被列入了黑名單。當殺毒軟件暫時失去作用時,病毒就會乘勝追擊,通過壹種“映象劫持”技術將殺毒軟件徹底打入死牢。
“映象劫持”會在註冊表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建壹個以殺毒軟件和安全工具程序名稱命名的項。建立完畢後,病毒還會在裏面建立壹個Debugger鍵,鍵值為“c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat”。這樣當我們雙機運行殺毒軟件的主程序時,運行的其實是病毒程序。
為了避免在“任務管理器”中露出破綻,病毒會將自己的進程註入到系統的資源管理器進程explorer.exe中,這樣我就無法通過“任務管理器”發現病毒的進程了。病毒進程的主要作用是監視系統中的用戶操作,例如妳想手動清楚病毒,修改註冊表,病毒沒隔壹段時間就會把註冊表改回去,讓妳百費勁。另壹個作用是監視IE窗口,發現用戶搜索病毒資料時,立即關閉網頁。
此外,病毒還會破壞windows防火墻和安全模式,封堵用戶的後路。最重要的是,病毒會從網絡上下載大量盜號木馬,盜取用戶的遊戲帳戶信息,這也是它的真正目的。
二、徹底清楚“AV終結者”
1、運行“任務管理器”,結束“explorer.exe”進程,單擊“任務管理器的”文件菜單,選擇“新建任務”,輸入“regedit”,找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,將Checkedvalue的的鍵值改為“1”。
2、在“regedit”中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,將以殺毒軟件和安全工具命名的項刪除。
3、在“資源管理器”中單擊“工具”——“文件夾選項”,切換到“查看”,取消“隱藏受保護的操作系統文件”前面的勾,然後選中“顯示所有文件和文件夾”。根據上文中提供的路徑刪除所有的病毒文件。刪除其他分區中的病毒,註意不要雙擊進入盤符,而要用右鍵點擊進入。
三、預防“AV終結者”
首先,要禁止自動播放功能,並能及時更新系統補丁,尤其是MS06-014和MS07-017這兩個補丁。
其次,要限制IFEO的讀寫權,達到限制病毒通過IFEO劫持殺毒軟件的目的。操作方法如下:開始——運行,輸入regedit32,找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,右擊此選項,在彈出的菜單中選擇“權限”,然後把administrors用戶組和users用戶組的權限全部取消即可。最後,要限制 SAFEBOOT的讀寫權,達到限制“AV終極者”修改或刪除Drives,保護安全模式正常運行的目的。操作方法如下:同樣是在32位註冊表裏找到 HKEY-LOCAL-MACHINE\SYSTEM\contorlset001\control\safeboot\network\{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\,將administors用戶組和users用戶組的權限全部取消即可。
[編輯本段]傳播途徑
“AV終結者”的重要傳播途徑是U盤等移動存儲介質。它通過U盤、移動硬盤的自動播放功能傳播,建議用戶暫時關閉電腦的這壹功能。用戶近期壹定要註意U盤使用安全,不要在可疑電腦上使用U盤,以免自己的電腦受到傳染。
[編輯本段]病毒特征
這種病毒主要特征有:禁用所有殺毒軟件以及相關安全工具,讓用戶電腦失去安全保障;致使用戶根本無法進入安全模式清除病毒;強行關閉帶有病毒字樣的網頁,只要在網頁中輸入‘病毒’相關字樣,網頁遂被強行關閉,即使是壹些安全論壇也無法登陸,用戶無法通過網絡尋求解決辦法。
[編輯本段]病毒現象
·1. 生成很多8位數字或字母隨機命名的病毒程序文件,並在電腦開機時自動運行。
·2. 綁架安全軟件,中毒後會發現幾乎所有殺毒軟件,系統管理工具,反間諜軟件不能正常啟動。即使手動刪除了病毒程序,下次啟動這些軟件時,還會報錯。
·3. 不能正常顯示隱藏文件,其目的是更好的隱藏自身不被發現。
·4. 禁用windows自動更新和Windows防火墻,這樣木馬下載器工作時,就不會有任何提示窗口彈出來。為該病毒的下壹步破壞打開方便之門。
·5. 破壞系統安全模式,使得用戶不能啟動系統到安全模式來維護和修復。
·6. 當前活動窗口中有殺毒、安全、社區相關的關鍵字時,病毒會關閉這些窗口。假如妳想通過瀏覽器搜索有關病毒的關鍵字,瀏覽器窗口會自動關閉。
·7. 在本地硬盤、U盤或移動硬盤生成autorun.inf和相應的病毒程序文件,通過自動播放功能進行傳播。這裏要註意的是,很多用戶格式化系統分區後重裝,訪問其它磁盤,立即再次中毒,用戶會感覺這病毒格式化也不管用。
·8. 病毒程序的最終目的是下載更多木馬、後門程序。用戶最後受損失的情況取決於這些木馬和後門程序。
·9.病毒運行後,鼠標右擊菜單以及下拉菜單選項,會在1到兩秒鐘時間後,自動選擇最後壹個選項,不過可以使用快捷方式組合。
[編輯本段]防範措施
對於病毒而言,良好的防範措施,好過中毒之後再絞盡腦汁去尋找查殺方法,而且壹旦感染該病毒,清除過程相當復雜,因此,在采訪中,金山、江民、瑞星等幾家公司的反病毒專家們向記者提供了針對該病毒防範措施:
1.保管好自己的U盤,MP3、移動硬盤等移動儲存的使用,當外來U盤接入電腦時,請先不要急於雙擊打開,壹定要先經過殺毒處理,建議采用具有U盤病毒免疫功能的殺毒軟件,如KV2007 獨有的U盤盾技術,可以免疫所有U盤病毒通過雙擊U盤時運行。
2. 給系統打好補丁程序,尤其是MS06-014和MS07-17這兩個補丁,目前絕大部分的網頁木馬都是通過這兩個漏洞入侵到計算機裏面的。
3. 即時更新殺毒軟件病毒庫,做到定時升級,定時殺毒。
4.安裝軟件要到正規網站下載,避免軟件安裝包被捆綁進木馬病毒。
5.關閉windows的自動播放功能。
[編輯本段]病毒解決方案
方法壹:
因為這個病毒會攻擊殺毒軟件,已經中毒的電腦殺毒軟件沒法正常啟動,雙擊沒反應,因而這時無法用殺毒軟件來清除;利用手動解決也相當困難,並且,AV終結者是壹批病毒,不能簡單的通過分析報告來人工刪除。推薦的清除步驟如下:
1. 在能正常上網的電腦上到/259.shtml 下載AV終結者病毒專殺工具。
2. 在正常的電腦上禁止自動播放功能,以避免通過插入U盤或移動硬盤而被病毒感染。禁止方法參考方案附件:
把AV終結者專殺工具從正常的電腦復制到U盤或移動硬盤上,然後再復制到中毒的電腦上。
3. 執行AV終結者專殺工具,清除已知的病毒,修復被破壞的系統配置。
(註:AV終結者專殺工具的重要功能是修復被破壞的系統,包括修復映像劫持;修復被破壞的安全模式;修復隱藏文件夾的正常顯示和刪除各磁盤分區的自動播放配置。)
4. 不要立即重啟電腦,然後啟動殺毒軟件,升級病毒庫,進行全盤掃描。以清除木馬下載器下載的其它病毒。
方法二:
去黑聯盟或黑客動畫吧,下載壹個AV生成器,運行後(註意別單擊生成),選“卸載本地服務端”。
[編輯本段]手動清除辦法
1.到網上下載IceSword工具,並將該工具改名,如改成abc.exe 名稱,這樣就可以突破病毒進程對該工具的屏蔽。然後雙擊打開IceSword工具,結束壹個8位數字的EXE文件的進程,有時可能無該進程。
2.利用IceSword的文件管理功能,展開到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,刪除2個8位隨機數字的文件,其擴展名分別為:dat 和dll 。再到%windir%\help\目錄下,刪除同名的.hlp或者同名的.chm文件,該文件為系統幫助文件圖標。
3. 然後到各個硬盤根目錄下面刪除Autorun.inf 文件和可疑的8位數字文件,註意,不要直接雙擊打開各個硬盤分區,而應該利用Windows資源管理器左邊的樹狀目錄來瀏覽。有時電腦中毒後可能無法查看隱藏文件,這時可以利用WinRar軟件的文件管理功能來瀏覽文件和進行刪除操作。
4.利用IceSword的註冊表管理功能,展開註冊表項到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],刪除裏面的IFEO劫持項。
當完成以上操作之後,就可以安裝或打開殺毒軟件了,然後升級殺毒軟件到最新的病毒庫,對電腦進行全盤殺毒。(手動清除辦法由江民反病毒專家提供