网络安全：“超级AV终结者”解析与防范

　2009年1月，一个综合了AV终结者、机器狗等技术的病毒，一个每分钟进行1万次ARP攻击的病毒，一个会让所有网管头疼、用户抓狂的病毒诞生了——超级AV终结者。被它“光顾”后，大家都上不了网，中毒者痛苦，未中毒者也痛苦。如果你能克制该病毒，解救身边的同事，你就会成为同事心中的“英雄”!在克制该病毒前，我们先来摸摸该病毒的底吧。　

　　病毒名称：Win32.TrojDownloader.NsPassT.bm.50688
　　中文名称：超级AV终结者
　　病毒类型：下载类病毒
　　病毒目的：破坏局域网，下载盗号木马

　　2007年：映像劫持

　　曾经，防范病毒仅仅需要在病毒特征库里加上几段特征码，在防火墙中加入端口号即可。可是，就像《生化危机》里的病毒一样，“贩毒”者的贪欲和野心是没有极限的。在这种野心的驱使下，在电脑前的我们走进了一个病毒进化的新时代。

　　AV终结者，当它出现的时候，几乎所有的中毒者都想到了四个字：无计可施。映像劫持，当你运行任何的“正常”应用程序，甚至当你想启动你的杀毒软件的时候，你会沮丧地发现，这一切都是徒劳的，你就是点QQ，运行的进程不过还是一个复杂的病毒进程。调试程序用的映像劫持，本来是一个中性词，在AV终结者的面前，彻底成为了一个病毒犯罪的贬义词，让人闻之色变。在映像劫持面前，很多人选择了重装系统。

　　可是，重装系统的受害者却发现，这一切还是徒劳的。因为病毒已经进化到不仅劫持映像，还用闪存病毒的机理武装了自己，当格式化C盘重装系统后，满怀希望地打开自己的其他分区时，又陷入万劫不复之中……

　　2008年：穿透还原卡

　　AV终结者没有故步自封，一直在谋求新的病毒技术，这时它盯上了机器狗。以前，还原卡是所有网管对付未知病毒的最终杀手锏，重启系统，病毒灰飞烟灭。然而在机器狗的面前，这道防线再度失守。

　　机器狗通过自动释放出的内核级驱动程序文件pcihdd.sys，采用物理直接读写方式绕过还原卡的监控，感染系统核心文件%SystemRoot%\system32\userinit.exe，从而造成还原卡失效。

　　AV终结者结合了机器狗的病毒技术，也具备了穿透还原卡的功能，它再一次发动大规模攻击。

　　2009年：ARP

　　在2009年再次“华丽”登场的AV终结者，已经具备ARP攻击的能力，成为了超级AV终结者。在超级AV终结者ARP攻击之下，局域网用户会非常痛苦。因为该病毒的ARP攻击频率高达每分钟1万次以上，在几分钟的时间内，就能阻塞由数百台电脑组成的局域网。当攻击达到最高峰时，连病毒作者自己指定的网址也无法访问。

　　而进化到这个程度的病毒，还在寻找有缝的“蛋”。从新发布的安全漏洞补丁中用快速反编译制作出新的病毒，然后通过生成器快速制作不同的变种并快速散布将会是一个新的“进化趋势”。而继续进行病毒特色的“杂交”，更是以后病毒发展的不二法门。

　　摸清了超级AV终结者的底，我们就可以动手克制该病毒了。学会了克制方法后，在为同事和朋友解决该病毒引起的电脑故障时，你就会得心应手，就会感受到崇拜的目光。

克制病毒方案

　　第一步：局域网中，如果某台电脑的杀毒软件无法正常运行，十之八九超级AV终结者就在这台电脑中。在目标电脑中安装《金山ARP防火墙》(软件下载地址：http://www.mydown.com/soft/263/263753.html )，这样就可以拦截本机对外进行的ARP攻击。接着运行《金山系统急救箱》，由于病毒修改了大量的系统注册表信息，所以扫描的时间要长一些(图1)。扫描完成以后，直接点击“立即重启”按钮即可。

　　第二步：运行《金山清理专家》目录下的KBOX.exe。调出“进程管理器”，勾上“显示加载到进程中的DLL”选项，再点击“找出存在风险的进程”按钮，就可以看到很多以HB开头的DLL文件，直接选中这些有风险的模块，点击鼠标右键，在弹出的菜单中选择“定位文件”命令。

　　在弹出的System32文件夹里面，按时间对所有文件进行排序，把所有与HB**.dll文件同时创建的文件全部选中，然后启动百宝箱的文件粉碎器(图2)，把这些文件全部拖到粉碎器的窗口，再单击“彻底删除”按钮即可。

　　第三步：重新启动系统，启动《金山清理专家》，点击“恶意软件查杀”中的“恶意软件”项，扫描完成后会发现多个恶意程序，直接点击“清除选定项”按钮就可以清除这些恶意软件。接着点击“安全百宝箱”中的“系统修复工具”按钮(图3)，这样程序就会自动检测被破坏的系统消息，再点击“修复选中项”按钮就可以成功地进行修复。

　　最后重新安装杀毒软件并升级病毒库到最新版本，再进行全盘查杀，将病毒残留物彻底清除干净。