站长之家官网入口,利用ps做兼职的网站,网页制作模板的网站,咋么做进网站跳转加群AV终结病毒大全及防范
AV终结者 的症状及破坏性: 6月8日#xff0c;金山毒霸发布紧急预警#xff0c;“AV终结者”病毒导致大量安全软件无法正常使用#xff0c;用户系统安全面临严峻威胁#xff1b;短短三天之后#xff0c;6月12日#xff0c;“AV终结者”危害行为变得…AV终结病毒大全及防范
AV终结者 的症状及破坏性: 6月8日金山毒霸发布紧急预警“AV终结者”病毒导致大量安全软件无法正常使用用户系统安全面临严峻威胁短短三天之后6月12日“AV终结者”危害行为变得更加恶劣杀毒软件被禁用反病毒网站无法打开安全模式遭破坏格式化系统盘后病毒仍无法清除用户电脑的安全性被大大降低电脑内的重要信息、机密文件、网络财产等面临严峻威胁。 戴光剑表示“AV终结者”集目前最流行的病毒技术于一身而且破坏过程经过了严密的“策划”普通用户一旦感染该病毒从病毒进入电脑到实施破坏四步就可导致用户电脑彻底崩溃 1、禁用所有杀毒软件以相关安全工具让用户电脑失去安全保障 2、破坏安全模式致使用户根本无法进入安全模式清除病毒 3、强行关闭带有病毒字样的网页只要在网页中输入“病毒”相关字样网页遂被强行关闭即使是一些安全论坛也无法登陆用户无法通过网络寻求解决办法 4、格式化系统盘重装后很容易被再次感染。用户格式化后只要双击其他盘符病毒将再次运行。 经过“AV终结者”的精心“策划”用户电脑的安全防御体系被彻底摧毁安全性几乎为零而“AV终结者”并未就此罢手自动连接到某网站大量下载数百种木马病毒各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下鱼贯而来用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。 AV终结者 最新专杀下载: “AV终结者”木马专杀工具-金山专杀: http://zhuansha.duba.net/259.shtml 绿色网下载地址-木蚂蚁: http://soft.mumayi.net/downinfo/6163.html 症状分析: 一、病毒简介 近日被称为“安全杀手”的“AV终结者”开始表现出它的超强破坏力用户一旦受感染将会丧失全部的拯救能力。 金山毒霸反病毒专家戴光剑表示“AV终结者”集目前最流行的病毒技术于一身而且破坏过程经过了严密的“策划”普通用户一旦感染该病毒从病毒进入电脑到实施破坏四步就可导致用户电脑彻底崩溃 1、禁用所有杀毒软件以相关安全工具让用户电脑失去安全保障 2、破坏安全模式致使用户根本无法进入安全模式清除病毒 3、强行关闭带有病毒字样的网页只要在网页中输入“病毒”相关字样网页遂被强行关闭即使是一些安全论坛也无法登陆用户无法通过网络寻求解决办法 4、格式化系统盘重装后很容易被再次感染。用户格式化后只要双击其他盘符病毒将再次运行。 但是“AV终结者”的可恶行径并没有就此结束它会自动连接到某网站大量下载木马病毒和流氓软件。 二、病毒分析 1.生成文件 %programfiles%/Common Files/Microsoft Shared/MSInfo/{随机8位字母数字名字}.dat %programfiles%/Common Files/Microsoft Shared/MSInfo/{随机8位字母数字名字}.dll %windir%/{随机8位字母数字名字}.hlp %windir%/Help/{随机8位字母数字名字}.chm 也有可能生成如下文件 %sys32dir%/{随机字母}.exe 替换%sys32dir%/verclsid.exe文件 2.生成以下注册表项来达到使病毒随系统启动而启动的目的 HKEY_CLASSES_ROOT/CLSID/随机CLSID//InprocServer32 病毒文件全路径 HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/随机CLSID 病毒文件全路径 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ ShellExecuteHooks 生成的随机CLSID HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 随机字符串 病毒文件全路径 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wscsvc Start dword:00000004 3.映像劫持 通过在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ Image File Execution Options下添加注册表项来进行文件映像劫持可阻止大量安全软件及系统管理软件运行并执行病毒体。 被劫持的软件包括 360rpt.exe; 360Safe.exe; 360tray.exe; adam.exe; AgentSvr.exe; AppSvc32.exe; autoruns.exe; avgrssvc.exe; AvMonitor.exe; avp.com; avp.exe; CCenter.exe; ccSvcHst.exe; FileDsty.exe; FTCleanerShell.exe; HijackThis.exe; IceSword.exe; iparmo.exe; Iparmor.exe; isPwdSvc.exe; kabaload.exe; KaScrScn.SCR; KASMain.exe; KASTask.exe; KAV32.exe; KAVDX.exe; KAVPFW.exe; KAVSetup.exe; KAVStart.exe; KISLnchr.exe; KMailMon.exe; KMFilter.exe; KPFW32.exe; KPFW32X.exe; KPFWSvc.exe; KRegEx.exe; KRepair.COM; KsLoader.exe; KVCenter.kxp; KvDetect.exe; KvfwMcl.exe; KVMonXP.kxp; KVMonXP_1.kxp; kvol.exe; kvolself.exe; KvReport.kxp; KVScan.kxp; KVSrvXP.exe; ………… 4.修改以下注册表导致无法显示隐藏文件 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ Advanced Hidden dword:00000002 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ Advanced/Folder/Hidden/SHOWALL CheckedValue dword:00000000 5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ SharedAccess Start dword:00000004 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ wuauserv Start dword:00000004 6.删除以下注册表项使用户无法进入安全模式 HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_CURRENT_USER/SYSTEM/ControlSet001/Control/SafeBoot/Minimal/ {4D36E967-E325-11CE-BFC1-08002BE10318} 7.连接网络下载病毒 hxxp://www.webxxx.com/xxx.exe 8.关闭杀毒软件实时监控窗口如瑞星、卡巴通过自动点击跳过按钮来逃过查杀 9.尝试关闭包含以下关键字窗口 Anti AgentSvr CCenter Rsaupd SmartUp FileDsty RegClean 360tray ………… ikaka duba kingsoft 木马 社区 aswBoot ………… 10.注入Explorer.exe和TIMPlatform.exe反弹连接以逃过防火墙的内墙的审核。 11.隐藏病毒进程但是可以通过结束桌面进程显示出来。 12.在硬盘分区生成文件autorun.inf 和 随机字母数字组成的病毒复制体并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。 三、防范及专杀工具 用户在正常运行的电脑上尽量不要使用自动播放功能以避免通过插入U盘、移动硬盘等造成病毒感染。同时应及时更新杀毒软件开启在线监控功能和防火墙。
具体防范和专杀看此blog另外两篇文章 AV终结者金山专杀 http://yahooi.blog.edu.cn/user4/yahooi/archives/2007/1771457.shtml AV终结者系统补丁下载 http://yahooi.blog.edu.cn/user4/yahooi/archives/2007/1771436.shtml
