金山急救箱1

病毒名称(中文): 超级AV终结者 病毒别名: 要你命三千,对抗型大杀器,混血魔头 威胁级别: ★★★☆☆ 病毒类型: 木马下载器 病毒长度: 50688 影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003 病毒行为: 这是一个对抗能力极强的下载器。它结合了AV终结者、机器狗、扫荡波、autorun病毒的众多特点，行为及其恶劣。它主要是利用MS08067漏洞在局域网内传播，对抗安全软件，下载大量的木马。由于带有穿透功能，对网吧和局域网用户影响很大。 一、 文件 1)母体dll 导出函数explore 获取ShellExecuteA，并调用”explorer open .”打开当前目录。用于每个驱动器下打开目录。 导出函数SchedServiceMain、ServiceMain、SvchostEntry_W32Time a)检测调试器：查找进程OllyICE.exe，OllyDbg.exe，ImportREC.exe，C32Asm.exe，LordPE.exe，PEditor.exe等进程，如果存在则退出，不存在则调用IsDebuggerPresent，检测当前是否被调试，是的话退出。 b)创建NSDownLoader20Vip02互斥体。 c)关卡巴进程。 d)释放资源102到%sys32dir%\Nskhelper2.sys,并创建服务NsRk1，启动,来恢复SSDT。 e)扫描当前系统进程列表，发现有安全软件进程，就调用驱动中的ZwTerminateProcess将它关闭。 进程列表 pccguide.exe ZONEALARM.exe zonealarm.exe wink.exe windows优化大师.exe WFINDV32.exe webtrap.exe WEBSCANX.exe WEBSCAN.exe vsstat.exe VSSCAN40 VSHWIN32.exe vshwin32.exe VSECOMR.exe VPC32.exe vir.exe VETTRAY.exe VET95.exe vavrunr.exe UlibCfg.exe TSC.exe tmupdito.exe tmproxy.exe TMOAgent.exe Tmntsrv.exe TDS2-NT.exe TDS2-98.exe TCA.exe TBSCAN.exe symproxysvc.exe SWEEP95.exe spy.exe SPHINX.exe smtpsvc.exe SMC.exe sirc32.exe SERV95.exe secu.exe SCRSCAN.exe scon.exe SCANPM.exe SCAN32.exe scan.exe scam32.exe safeweb.exe safeboxTray.exe rn.exe Rfw.exe rescue32.exe regedit.exe RavTask.exe RavStub.exe RavMonD.exe RavMon.exe rav7win.exe RAV7.exe ras.exe pview95.exe prot.exe program.exe PpPpWallRun.exe pop3trap.exe PERSFW.exe PCFWALLICON.exe pccwin98.exe pccmain.exe pcciomon.exe PCCClient.exe pcc.exe PAVCL.exe PADMIN.exe OUTPOST.exe office.exe NVC95.exe NUPGRADE.exe norton.exe NORMIST.exe NMAIN.exe nisum.exe nisserv.exe NAVWNT.exe navwnt.exe NAVW32.exe NAVW.exe NAVSCHED.exe navrunr.exe NAVNT.exe NAVLU32.exe navapw32.exe navapsvc.exe N32ACAN.exe ms.exe MPFTRAY.exe MOOLIVE.exe moniker.exe mon.exe microsoft.exe mcafee.exe LUCOMSERVER.exe luall.exe LOOKOUT.exe lockdown2000.exe lamapp.exe kwatch.exe KVPreScan.exe KVMonXP.exe KRF.exe KPPMain.exe kpfwsvc.exe kpfw32.exe KPFW32.exe kissvc.exe kavstart.exe kav32.exe Kasmain.exe Kabackreport.exe JED.exe iomon98.exe iom.exe ICSSUPPNT.exe ICMOON.exe ICLOADNT.exe ICLOAD95.exe IceSword.exe ice.exe IBMAVSP.exe IBMASN.exe IAMSERV.exe IAMAPP.exe F-STOPW.exe f-stopw.exe FRW.exe FP-WIN.exe fp-win.exe f-prot95.exe F-PROT.exe fir.exe FINDVIRU.exe F-AGNT95.exe explorewclass.exe ESPWATCH.exe ESAFE.exe EFINET32.exe ECENGINE.exe DVP95.exe DV95_O.exe DV95.exe debu.exe dbg.exe DAVPFW.exe CLEANER3.exe CLEANER.exe CLAW95CT.exe CLAW95.exe cfinet32.exe cfinet.exe CFIND.exe CFIAUDIT.exe CFIADMIN.exe CCenter.exe BLACKICE.exe BLACKD.exe avxonsol.exe AVWIN95.exe avsynmgr.exe AVSCHED32.exe AVPUPD.exe AVPTC32.exe AVPNT.exe AVPMON.exe AVPM.exe avpdos32.exe AVPCC.exe avp32.exe avp.exe AVKSERV.exe avk.exe AVGCTRL.exe AVE32.exe AVCONSOL.exe AUTODOWN.exe ATRACK.exe atrack.exe APVXDWIN.exe antivir.exe ANTI-TROJAN.exe anti.exe ACKWIN32.exe 360tray.exe 360safe.exe _AVPM.exe _AVPCC.exe _AVP32.exe f)映像劫持以上进程，并指svchost.exe. g)获取当前机子的MAC地址和操作系统版本及运行时间，向指定网址发信。 h)解密网址，下载里面的病毒到%temp%目录，并依次运行。 i)遍历驱动器，在非a:\和b:\驱动器根目录下创建autorun.inf,先判断autorun.inf是否已存在文件或文件夹，存在先删除，在创建，并将自身复制过去命名为system.dll，autorun.inf中调用system.dll的导出函数explore. k)修改hosts文件，屏蔽许多安全软件网址。 导出函数DllEntryPoint a)判断当前是否注入svchost.exe,且时间是否在2008-12-1以前，是的话跳入主功能线程，否则不注入。同导出函数SchedServiceMain、ServiceMain、SvchostEntry_W32Time。 b)若不是，释放资源102回复ssdt，关闭杀软进程，然后ring3关卡巴，自己创建一个svchost.exe进程，将自身创建远程线程注入。 2)释放的资源102sys(Nskhelper2.sys) 恢复SSDT，并结束指定进程。 3)释放的资源103sys(NsPass?.sys) 直接访问磁盘并将自己写入以下dll文件 %sys32dir%\schedsvc.dll %sys32dir%\appmgmts.dll %sys32dir%\srsvc.dll %sys32dir%\w32time.dll %sys32dir%\wiaservc.dll 4)释放的资源104dll(无后缀随机名) 该为扫荡波原始版本，先获取传入的当前机子的IP，像其子段(2~255)发功及代码，若发送成功，则发送xxx.txt(母体数据组成的bat文件，运行后会生成临时文件tmp.tmp和母体tmp2.dll)调用rundll32运行。 5)释放的资源105dll(appwinproc.dll) a)Hook WM_MOVE，当有程序调用时，该dll被载入。 b)获取窗口，当发现有金山毒霸，360安全卫士, 江民, 木马, 专杀,下载者，NOD32，卡巴斯基字样的窗口，则调TerminateProcess将其关闭。 解决方案 1）专杀方案 下载金山系统急救箱（http://bbs.duba.net/thread-21988813-1-1.html） 扫描重启后可以完全清除此病毒 防御方案 a) 毒霸已经可以查杀此病毒，升级病毒库到最新版本并开启实时监控就可以防御。 b) 局域网用户需要下载ARP防火墙，以防止其他机器的攻击 c) 使用清理专家打全补丁，尤其是MS08-067 该病毒采用了机器狗，扫荡波，AV终结者，autorun病毒的技术组合而成，急救箱对此可以修复： appwinproc.dll 特别提示：上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录，病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异，该显示结果并不必然具备推广适用性。 © 2009 Kingsoft Corp.