送走了讓人聞風喪膽的“熊貓燒香”,近日又有一種超破壞力的病毒“AV終結者”大肆席卷互聯網,不到一個月時間,變種就已達數百個之多,波及人群超過十幾萬人。由於這款病毒破壞力十分霸道,一旦感染就很難清除。
那麼“AV終結者”到底是什麼?其實它就是由隨機8位數字和字母組合而成的病毒,是閃存寄生病毒,其傳播是通過閃存等存儲介質或者注入服務器來實現的。
我們要如何預防這顆互聯網超級炸彈?萬一被它攻陷了電腦,重裝系統後仍無法清除,我們又該怎麼辦?本文將為您消除所有的疑惑,打造一個安全的操作系統,保障您的財產安全以及機密信息不會受到損失。
“AV終結者”憑什麼這麼“跩”
1.生成隨機文件名
對“AV終結者”的樣本文件進行分析後,可以發現其手段相當的毒辣。病毒運行後會在系統中生成如下幾個文件:C:\program files\Common Files\Microsoft Shared\MSInfo\隨機生成病毒名.dat、C:\Program Files\Common Files\Microsoft Shared\MSInfo\隨機生成病毒名.dll(圖1)、C:\windows\隨機生成病毒名.hlp、C:\windows\help\隨機生成病毒名.chm。
“AV終結者”的病毒名是由大寫字母+數字隨機組合而成的,其長度為8位,可以說生成相同病毒名的概率是極小的。tw.WInGwiT.COM因此即使我們知道了這是病毒生成的文件,也別指望通過病毒名在網絡上找到病毒的清除方法。
2.通過“自動播放”傳播
病毒運行後會在本地磁盤和移動磁盤中復制病毒文件和anuorun.inf文件,當用戶雙擊盤符時就會激活病毒,即使重裝系統,也是無法將病毒徹底清除的。這是目前很多病毒熱衷的傳播方法,不少用戶也懂得需要刪除病毒生成的anuorun.inf文件,但是當我們進入“文件夾選項”,想顯示隱藏文件時,可以發現這裡已經被病毒給禁用了。
3.干掉殺毒軟件
針對殺毒軟件的攻擊,是“AV終結者”的特點。病毒會終止大部分的殺毒軟件和安全工具的進程。國內絕大多數的殺毒軟件和安全工具都被列入了黑名單。當殺毒軟件暫時失去作用時,病毒就會乘勝追擊,通過一種“映像劫持”技術將殺毒軟件徹底打入死牢。
“映像劫持”會在注冊表的“HKEY_LOCAL_MACHINE\SOFTWAR E\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options”位置新建一個以殺毒軟件和安全工具程序名命名的項。建立完畢後,病毒還會在裡面建立一個Debugger鍵,鍵值為“C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\05CC73B2.dat”(圖2)。這樣當我們雙擊運行殺毒軟件的主程序時,運行的其實是病毒程序。
4.注入系統進程
為了避免在“任務管理器”中露出破綻,病毒會將自己的進程注入到系統的資源管理器進程explorer.exe中,這樣我們就無法通過“任務管理器”發現病毒的進程了。病毒進程的主要作用是監視系統中的用戶操作,例如你想手動清除病毒,修改注冊表,病毒每隔一段時間就會把注冊表改回去,讓你白費勁。另一個作用是監視IE窗口,發現用戶搜索病毒資料時,立即關閉網頁。
此外,病毒還會破壞Windows防火牆和安全模式,封堵用戶的後路。最重要的是,病毒會從網絡上下載大量的盜號木馬,盜取用戶的游戲賬戶信息,這才是“AV終結者”的真正目的。
徹底清除“AV終結者”
手動查殺“AV終結者”相對於其他病毒來說比較困難,因為它有不少保護措施。但保護措施做得再好還是有破綻可尋的,清除病毒可以按照以下步驟:
Step1:運行“任務管理器”,結束其中的“explorer.exe”進程。單擊“任務管理器”的“文件”菜單,選擇“新建任務”,輸入“regedit”運行“注冊表編輯器”。定位到HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall處,將Check edValue的鍵值改為“1”(圖3)。
Step2:在“注冊表編輯器”定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,將以殺毒軟件和安全工具命名的項刪除。
Step3:在“資源管理器”中單擊“工具”菜單→“文件夾選項”,切換到“查看”標簽,取消“隱藏受保護的操作系統文件”前面的鉤,然後選中“顯示所有文件和文件夾”選項。根據上文中提供的路徑刪除所有病毒文件。刪除其他分區中的病毒,注意不要雙擊進入盤符,而要用右鍵點擊進入。
如何預防“AV終結者”
首先,要禁止自動播放功能,並及時更新最新系統補丁,尤其是MS06-014和MS07-017這兩個補丁。
其次,要限制IFEO的讀寫權,達到限制病毒通過IFEO劫持殺毒軟件的目的。操作方法如下:單擊“開始→運行”,在命令行中輸入regedit32 ,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execu tion Options,右鍵單擊此選項,在彈出的菜單中選擇“權限”,然後把Administrors用戶組和Users用戶組的權限全部取消即可(圖4)。
最後,要限制SAFEBOOT的讀寫權,達到限制“AV終結者”修改或刪除Drives,保護安全模式正常運行的目的。操作方法如下:同樣是在32位注冊表中找到 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D3 6E967-E325-11CE-BFC1-08002BE 10318}和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\ Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},將Administrors用戶組和Users用戶組的權限全部取消即可。
編後:本文介紹的清除方法需要手動操作,對注冊表不熟悉的朋友可以用“AV終結者”專殺工具,並配合SREng、Autoruns、IFEO映像劫持修復工具、修復安全模式.REG、恢復顯示隱藏文件.REG使用,也可以徹底清除病毒,這些軟件都可以到http://www.cpcw.com/bzsoft下載。
From:http://tw.wingwit.com/Article/Network/201309/418.html