科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全:“超级AV终结者”解析与防范

网络安全:“超级AV终结者”解析与防范

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 2009年1月,一个综合了AV终结者、机器狗等技术的病毒,一个每分钟进行1万次ARP攻击的病毒,一个会让所有网管头疼、用户抓狂的病毒诞生了——超级AV终结者。被它“光顾”后,大家都上不了网,中毒者痛苦,未中毒者也痛苦。如果你能克制该病毒,解救身边的同事,你就会成为同事心中的“英雄”!在克制该病毒前,我们先来摸摸该病毒的底吧。

来源:zol 2009年2月9日

关键字: 木马 AV终结者 网络安全

  • 评论
  • 分享微博
  • 分享邮件
 2009年1月,一个综合了AV终结者、机器狗等技术的病毒,一个每分钟进行1万次ARP攻击的病毒,一个会让所有网管头疼、用户抓狂的病毒诞生了——超级AV终结者。被它“光顾”后,大家都上不了网,中毒者痛苦,未中毒者也痛苦。如果你能克制该病毒,解救身边的同事,你就会成为同事心中的“英雄”!在克制该病毒前,我们先来摸摸该病毒的底吧。 

  病毒名称:Win32.TrojDownloader.NsPassT.bm.50688
  中文名称:超级AV终结者
  病毒类型:下载类病毒
  病毒目的:破坏局域网,下载盗号木马

  2007年:映像劫持

  曾经,防范病毒仅仅需要在病毒特征库里加上几段特征码,在防火墙中加入端口号即可。可是,就像《生化危机》里的病毒一样,“贩毒”者的贪欲和野心是没有极限的。在这种野心的驱使下,在电脑前的我们走进了一个病毒进化的新时代。

  AV终结者,当它出现的时候,几乎所有的中毒者都想到了四个字:无计可施。映像劫持,当你运行任何的“正常”应用程序,甚至当你想启动你的杀毒软件的时候,你会沮丧地发现,这一切都是徒劳的,你就是点QQ,运行的进程不过还是一个复杂的病毒进程。调试程序用的映像劫持,本来是一个中性词,在AV终结者的面前,彻底成为了一个病毒犯罪的贬义词,让人闻之色变。在映像劫持面前,很多人选择了重装系统。

  可是,重装系统的受害者却发现,这一切还是徒劳的。因为病毒已经进化到不仅劫持映像,还用闪存病毒的机理武装了自己,当格式化C盘重装系统后,满怀希望地打开自己的其他分区时,又陷入万劫不复之中……

  2008年:穿透还原卡

  AV终结者没有故步自封,一直在谋求新的病毒技术,这时它盯上了机器狗。以前,还原卡是所有网管对付未知病毒的最终杀手锏,重启系统,病毒灰飞烟灭。然而在机器狗的面前,这道防线再度失守。

  机器狗通过自动释放出的内核级驱动程序文件pcihdd.sys,采用物理直接读写方式绕过还原卡的监控,感染系统核心文件%SystemRoot%\system32\userinit.exe,从而造成还原卡失效。

  AV终结者结合了机器狗的病毒技术,也具备了穿透还原卡的功能,它再一次发动大规模攻击。

  2009年:ARP

  在2009年再次“华丽”登场的AV终结者,已经具备ARP攻击的能力,成为了超级AV终结者。在超级AV终结者ARP攻击之下,局域网用户会非常痛苦。因为该病毒的ARP攻击频率高达每分钟1万次以上,在几分钟的时间内,就能阻塞由数百台电脑组成的局域网。当攻击达到最高峰时,连病毒作者自己指定的网址也无法访问。

  而进化到这个程度的病毒,还在寻找有缝的“蛋”。从新发布的安全漏洞补丁中用快速反编译制作出新的病毒,然后通过生成器快速制作不同的变种并快速散布将会是一个新的“进化趋势”。而继续进行病毒特色的“杂交”,更是以后病毒发展的不二法门。

  摸清了超级AV终结者的底,我们就可以动手克制该病毒了。学会了克制方法后,在为同事和朋友解决该病毒引起的电脑故障时,你就会得心应手,就会感受到崇拜的目光。

克制病毒方案

  第一步:局域网中,如果某台电脑的杀毒软件无法正常运行,十之八九超级AV终结者就在这台电脑中。在目标电脑中安装《金山ARP防火墙》(软件下载地址:http://www.mydown.com/soft/263/263753.html ),这样就可以拦截本机对外进行的ARP攻击。接着运行《金山系统急救箱》,由于病毒修改了大量的系统注册表信息,所以扫描的时间要长一些(图1)。扫描完成以后,直接点击“立即重启”按钮即可。

点击放大此图片

  第二步:运行《金山清理专家》目录下的KBOX.exe。调出“进程管理器”,勾上“显示加载到进程中的DLL”选项,再点击“找出存在风险的进程”按钮,就可以看到很多以HB开头的DLL文件,直接选中这些有风险的模块,点击鼠标右键,在弹出的菜单中选择“定位文件”命令。

  在弹出的System32文件夹里面,按时间对所有文件进行排序,把所有与HB**.dll文件同时创建的文件全部选中,然后启动百宝箱的文件粉碎器(图2),把这些文件全部拖到粉碎器的窗口,再单击“彻底删除”按钮即可。

点击放大此图片

  第三步:重新启动系统,启动《金山清理专家》,点击“恶意软件查杀”中的“恶意软件”项,扫描完成后会发现多个恶意程序,直接点击“清除选定项”按钮就可以清除这些恶意软件。接着点击“安全百宝箱”中的“系统修复工具”按钮(图3),这样程序就会自动检测被破坏的系统消息,再点击“修复选中项”按钮就可以成功地进行修复。

点击放大此图片

  最后重新安装杀毒软件并升级病毒库到最新版本,再进行全盘查杀,将病毒残留物彻底清除干净。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章