新AV终结者采用ring3级hook对抗杀毒软件
时间:2010-08-14 | 栏目:安全播报 | 点击:次
截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
以下是详细分析报告:
病毒名:Win32.Troj.AvKiller.hd.212992
病毒利用WH_CALLWNDPROC类型的挂钩将自身注入其他进程
病毒自身通过nfxphzn.jbt来调用CreateFileA和CreateFileW函数,病毒注入系统的其他进程后
(1)创建一个线程来保护其添加的注册表键值不被删除;
(2)结束杀毒软件进程;
(3)通过将ZwCreateFile的前两个字节填0加以破坏;
(4)并试图删除以下文件,(主要是杀毒软件和流氓软件清除工具的驱动、程序文件)
**修改hosts文件为**
hosts文件被修改后,会影响很多杀毒软件和反流氓软件的升级,影响访问相关网站
(注意一下61.152.244.167这个IP,下面发现众多流量很高的站点被劫持到61.152.244.167,可以尝试一下在IE地址栏中输入这个IP,你发现去了cn.yahoo.com)难道这个病毒在替yahoo做流量?我是不相信的,马云成功在望,不会采取这种流氓手段劫持其它网站的流量,我怀疑是栽赃。或者,中国yahoo的网盟政策被利用了。
查询61.152.244.167,位于上海电信机房,whois信息如下:
APNIC手动解决该病毒的办法:使用金山清理专家,将下列文件添加到彻底删除的列表,粉碎掉,然后立即重启电脑。
重启电脑,使用金山清理专家全面检测修复功能,将下面的系统执行挂钩项修复掉。
手动编辑hosts文件,对多数用户来说,在这里:c:\windows\system32\drivers\etc\hosts除保留127.0.0.1 localhost这一行外,其它内容全部清空。