“反病毒杀手变种CC”病毒技术细节

　　此程序为Worm类型程序

　　1、病毒运行后，先利用"LookupPrivilegeValueA"，"AdjustTokenPrivileges"提升自己的运行权限，然后遍历系统所有进程，查找下列进程:

　　Ras.exe 、avp.com 、avp.exe 、RavTask.exe 、Rav.exe 、RavMon.exe 、QQKav.exe 、QQDoctor.exe 、360Safe.exe 、360rpt.exe 、KAV32.exe、KAVDX.exe 、RfwMain.exe 等

　　如发现对应进程，则利用"TerminateProcess"关掉进程，使当前系统失去保护。

　　2、病毒将自身复制到系统盘\Program Files\Common Files\System\和\Program Files\Common Files\Microsoft Shared\目录，并利用GetDriveType判断，向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(dhfmhuc.exe)，其autorun.inf的内容如下:

　　[AutoRun]

　　open=dhfmhuc.exe

　　shell\open=打开(&O)

　　shell\open\Command=dhfmhuc.exe

　　shell\open\Default=1

　　shell\explore=资源管理器(&X)

　　shell\explore\Command=dhfmhuc.exe

　　3、病毒创建或修改以下注册表键：

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ Rav.exe

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

　　RavMon.exe

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 360tray.EXE

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ AVP.EXE

　　等，在上述键值内，加入值Debugger = <木马路径>。这样，试图运行上述程序(Rav.exe，Ravmon.exe等)时，该木马会被自动执行。

　　4、病毒会创建2个病毒进程，当一个进程被结束时另一个进程重新创建它，实现双进程保护。病毒还会专门针对瑞星的开机扫描功能进行破坏，病毒将system32目录下的bsmain.exe改名为bsmains.exe 。

　　5、病毒会到指定网址下载可以程序并运行，地址如下：

　　http://www.XXXXXX.com/TDown1.exe

　　http://www. XXXXXX.com/ReadDown.txt

　　安全建议：

　　1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

　　2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

　　3 不浏览不良网站，不随意下载安装可疑插件。

　　4 不接收QQ、MSN、Emial等传来的可疑文件。

　　5 上网时打开杀毒软件实时监控功能。

　　6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

　　清除办法：

　　瑞星杀毒软件清除办法：

　　安装瑞星杀毒软件，升级到19.46.51版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。