明辉站/杀毒教程/内容

“超级AV终结者”解析与防范

杀毒教程2023-07-12 阅读
[摘要]2009年1月, 一个综合了AV终结者、机器狗等技术的病毒, 一个每分钟进行1万次ARP攻击的病毒, 一个会让所有网管头疼、用户抓狂的病毒诞生了——超级AV终结者。 被它“光顾”后, 大家都上不了网, 中毒者痛苦, ...

2009年1月, 一个综合了AV终结者、机器狗等技术的病毒, 一个每分钟进行1万次ARP攻击的病毒, 一个会让所有网管头疼、用户抓狂的病毒诞生了——超级AV终结者。 被它“光顾”后, 大家都上不了网, 中毒者痛苦, 未中毒者也痛苦。 如果你能克制该病毒, 解救身边的同事, 你就会成为同事心中的“英雄”!在克制该病毒前, 我们先来摸摸该病毒的底吧。  

  病毒名称:Win32.TrojDownloader.NsPassT.bm.50688

  中文名称:超级AV终结者

  病毒类型:下载类病毒

  病毒目的:破坏局域网, 下载盗号木马

  2007年:映像劫持

  曾经, 防范病毒仅仅需要在病毒特征库里加上几段特征码, 在防火墙中加入端口号即可。 可是, 就像《生化危机》里的病毒一样, “贩毒”者的贪欲和野心是没有极限的。 在这种野心的驱使下, 在电脑前的我们走进了一个病毒进化的新时代。

  AV终结者, 当它出现的时候, 几乎所有的中毒者都想到了四个字:无计可施。 映像劫持, 当你运行任何的“正常”应用程序, 甚至当你想启动你的杀毒软件的时候, 你会沮丧地发现, 这一切都是徒劳的, 你就是点QQ, 运行的进程不过还是一个复杂的病毒进程。 调试程序用的映像劫持, 本来是一个中性词, 在AV终结者的面前, 彻底成为了一个病毒犯罪的贬义词, 让人闻之色变。 在映像劫持面前, 很多人选择了重装系统。

  可是, 重装系统的受害者却发现, 这一切还是徒劳的。 因为病毒已经进化到不仅劫持映像, 还用闪存病毒的机理武装了自己, 当格式化C盘重装系统后, 满怀希望地打开自己的其他分区时, 又陷入万劫不复之中……

  2008年:穿透还原卡

  AV终结者没有故步自封, 一直在谋求新的病毒技术, 这时它盯上了机器狗。 以前, 还原卡是所有网管对付未知病毒的最终杀手锏, 重启系统, 病毒灰飞烟灭。 然而在机器狗的面前, 这道防线再度失守。

  机器狗通过自动释放出的内核级驱动程序文件pcihdd.sys, 采用物理直接读写方式绕过还原卡的监控, 感染系统核心文件%SystemRoot%\system32\userinit.exe, 从而造成还原卡失效。

  AV终结者结合了机器狗的病毒技术, 也具备了穿透还原卡的功能, 它再一次发动大规模攻击。

  2009年:ARP

  在2009年再次“华丽”登场的AV终结者, 已经具备ARP攻击的能力, 成为了超级AV终结者。 在超级AV终结者ARP攻击之下, 局域网用户会非常痛苦。 因为该病毒的ARP攻击频率高达每分钟1万次以上, 在几分钟的时间内, 就能阻塞由数百台电脑组成的局域网。 当攻击达到最高峰时, 连病毒作者自己指定的网址也无法访问。

  而进化到这个程度的病毒, 还在寻找有缝的“蛋”。 从新发布的安全漏洞补丁中用快速反编译制作出新的病毒, 然后通过生成器快速制作不同的变种并快速散布将会是一个新的“进化趋势”。 而继续进行病毒特色的“杂交”, 更是以后病毒发展的不二法门。

  摸清了超级AV终结者的底, 我们就可以动手克制该病毒了。 学会了克制方法后, 在为同事和朋友解决该病毒引起的电脑故障时, 你就会得心应手, 就会感受到崇拜的目光。  克制病毒方案

  第一步:局域网中, 如果某台电脑的杀毒软件无法正常运行, 十之八九超级AV终结者就在这台电脑中。 在目标电脑中安装《金山ARP防火墙》(软件下载地址:http://www.mydown.com/soft/263/263753.html ), 这样就可以拦截本机对外进行的ARP攻击。 接着运行《金山系统急救箱》, 由于病毒修改了大量的系统注册表信息, 所以扫描的时间要长一些(图1)。 扫描完成以后, 直接点击“立即重启”按钮即可。

“超级AV终结者”解析与防范点击放大此图片

  第二步:运行《金山清理专家》目录下的KBOX.exe。 调出“进程管理器”, 勾上“显示加载到进程中的DLL”选项, 再点击“找出存在风险的进程”按钮, 就可以看到很多以HB开头的DLL文件, 直接选中这些有风险的模块, 点击鼠标右键, 在弹出的菜单中选择“定位文件”命令。

  在弹出的System32文件夹里面, 按时间对所有文件进行排序, 把所有与HB**.dll文件同时创建的文件全部选中, 然后启动百宝箱的文件粉碎器(图2), 把这些文件全部拖到粉碎器的窗口, 再单击“彻底删除”按钮即可。

“超级AV终结者”解析与防范点击放大此图片

  第三步:重新启动系统, 启动《金山清理专家》, 点击“恶意软件查杀”中的“恶意软件”项, 扫描完成后会发现多个恶意程序, 直接点击“清除选定项”按钮就可以清除这些恶意软件。 接着点击“安全百宝箱”中的“系统修复工具”按钮(图3), 这样程序就会自动检测被破坏的系统消息, 再点击“修复选中项”按钮就可以成功地进行修复。

“超级AV终结者”解析与防范点击放大此图片

  最后重新安装杀毒软件并升级病毒库到最新版本, 再进行全盘查杀, 将病毒残留物彻底清除干净。


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

……

相关阅读