全新AV终结者 携新技术灭杀软没商量
全新AV终结者 携新技术灭杀软没商量[url=http://www.pchome.net/]CNET中国·PChome.net[/url] 类型:转载 作者: 责编:bilabi 时间:2007-10-08
强病毒AV终结者新的变种
专业的人做专业的事情,强病毒AV终结者又有了新的变种!而且似乎强到了逆天!居然可以Ring3级技术来删除AV软件的关键程序,汗颜。不过俗话说"魔高一尺,道高一丈",金山的病毒专家铁军还是找到了对付的办法,下面演示给大家哈。
截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
以下是详细分析报告:
病毒名: Win32.Troj.AvKiller.hd.212992
病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程
**释放文件**
C:\WINDOWS\system32\nfxphzn.jbt 该文件为kernel32.dll的拷贝
c:\WINDOWS\system32\yqia.btl 该文件为病毒自身的拷贝
**下载文件**
w3.hao5555.com/v3/pic.bmp
w3.hao5555.com/v3/Riched32.dll
w3.hao5555.com/v3/search.asp
w3.hao5555.com/bd.dll
**修改的注册表**
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
[HKEY_CLASSES_ROOT\CLSID\{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}\InprocServer32]
@="C:\\WINDOWS\\system32\\yqia.btl"
"ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001
**挂接函数**
RegEnumValueA
RegEnumValueW -- 目的为隐藏病毒添加的注册表键值
CreateFileA
CreateFileW -- 目的为保护病毒释放的文件
**卸载组件**
regsvr32.exe /u /s wshom.ocx
病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数 金山的广告?嘿嘿 CreateFileA
CreateFileW
这两个不是基本被杀毒软件占据的么?
这个都hook,估计杀毒软件也不太有保护能力。。。。。 网络越来越不安全了 估计hips都拦截不了。 道高一尺,魔一丈的无限循环 全局拦截 不错,进一步关注中 无聊 以前就说了
大张旗鼓和杀软对着干相比于不声不响的研究免杀没前途的多
你文件既然能被识别出来,用各种手段,就说在DOS或PE里删了你,你又能怎样?
页:
[1]