AV终结者病毒火热空降,危害比熊猫烧香病毒更厉害!请看来自一线反病毒阵线的应急方案,及时防护、快速查杀,全面保护用户电脑安全!
AV终结者火爆登场
金山毒霸客户服务中心最近收到大量用户求助,用户反馈的现象大致差不多:杀毒软件不能用,想用搜索引擎去查找一些解决办法,输入杀毒,浏览器窗口就被关掉。在金山毒霸论坛,也有大量用户反应相同或类似的情况。而在珠海毒霸研发部,已经监测到此类病毒泛滥的情况。监测发现了一系列反击杀毒软件,破坏系统安全模式,植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”,AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。
AV终结者病毒现象
1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2.绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复
6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
AV终结者传播方式
1. 通过U盘、移动硬盘的自动播放功能传播
2. AV终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
因为这个病毒同样会攻击金山毒霸,已经中毒的电脑会发同金山毒霸不能启动,双击没反应。利用手动解决相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下:
1. 在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具
下载地址:http://zhuansha.duba.net/259.shtml
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
AV终结者防范措施
因为AV终结者病毒一旦感染,清除过程相当复杂,可能不少用户就会去重装。我们建议用户不要轻易重装系统,使用我们推荐的步骤完成清除,必要时拨打客服电话请求支持。请采取以下措施防范AV终结者病毒
1. 使用金山网镖或Windows防火墙,可有效防止网络病毒通过黑客攻击手段入侵。
2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞,特别需要注意安装浏览器的最新补丁。
3. 升级杀毒软件,开启实时监控
4. 网管采取综合措施防范ARP攻击挂马事件,有关ARP攻击的解决办法,请参考附件二
5. 关闭windows的自动播放功能
AV终结者病毒的帮凶出现
类似AV终结者的病毒,会把杀毒软件做为攻击的第一道关。攻击成功后,会使用下载器下载一堆的木马,本案例就在解决掉新病毒后,升级毒霸查到10多个盗号木马。一位MM的电脑中了终结者后,用毒霸的专杀修复后,毒霸仍不能启动。要来QQ,远程连接过去看个究竟。网速限制,整了一个小时,最终搞定,写总结文章比修复简单多了。
1.给MM传过去需要的工具软件:AV终结者专杀,autoruns,冰刃,process explorer。
2.分别运行这四个工具,只有专杀可以启动,其它工具未能启动。尝试进入kav2007目录,发现毒霸主程序,清理专家均无法启动。autoruns和Process Explorer改名后可以运行。冰刃改名后,打开即被关闭,毒霸和清理专家也一样。
3.在autoruns的explorer页发现2个DLL,a1d29050.dll和msacn.dll(使用autoruns时,一定要选中隐藏MS签名认证的项目,不然要累死)。
将这两个DLL复制到桌面的新建文件夹备份。然后将process explorer改名后运行,在进程explorer中查找相关线程。找到4个正在运行的线程,立即将病毒线程暂停。
4.这时已经发现冰刃可以正常使用了,所以就选择用process Explorer杀掉了相关线程。
5.继续使用autoruns查看服务,找到3个未知服务。不过,事后证实这三个服务与毒霸不能运行无关,是毒霸可杀的木马程序。
6.接下来,进入毒霸目录,双击uplive.exe升级。
7.升级完成后,双击kav32.exe执行病毒扫描。结束发现了10多个已知木马。当然,这几个令毒霸,冰刃无法运行的DLL,是新病毒。
为确保清除成功,建议MM扫描完毕后再和AV终结者修复一下注册表,因为这个病毒让隐藏文件无法正常显示,这个AV终结者修复工具,刚好可以解决这个问题。
补充一点,在使用autoruns的过程中,发现病毒已经删除了毒霸注册的服务,因此,电脑如果重启的话,会发现实时监控不能被加载。
总结:
类似AV终结者的病毒,会把杀毒软件做为攻击的第一道关。攻击成功后,会使用下载器下载一堆的木马,本案例就在解决掉新病毒后,升级毒霸查到10多个盗号木马。
预计在一段时间内,采用这种手法的盗号集团将十分猖獗。请网友参考AV终结者的综合方案采取防御措施。
附件一:关闭Windows自动播放功能
1. 使用组策略编辑器
点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
2. 使用金山毒霸提供的禁止自动播放功能
启动毒霸主程序,工具菜单下找到综合设置,在其它设置中选中禁止U盘和硬盘的自动播放功能。
附件二:防范ARP病毒攻击
现在局域网中感染ARP 病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。
ARP>病毒的症状:
有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,
拷贝文件无法完成,出现错误;局域网内的ARP 包爆增,使用Arp 查询的时候会发现不正常的Mac 地址,或者是错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况也会有出现。
ARP攻击的原理:
ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
处理办法:
通用的处理流程:
1 .先保证网络正常运行
方法一:编辑个***.bat 文件内容如下:
arp.exe s
**.**.**.**(网关ip) ****
**
**
**
**(
网关mac 地址)
end
让网络用户点击就可以了!
办法二:编辑一个注册表问题,键值如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mac"="arp s
网关IP 地址网关Mac 地址"
然后保存成Reg 文件以后在每个客户端上点击导入注册表。
2 找到感染ARP 病毒的机器。
a:在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。
b:使用抓包工具,分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己,有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。
c:使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表,有助于判断感染ARP 病毒对应MAC 地址和IP 地址。
预防措施:
1,及时升级客户端的操作系统和应用程式补丁;
2,安装和更新杀毒软件。
4,如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址。
5,如果交换机支持,在交换机上绑定MAC 地址与IP 地址。(不过这个实在不是好主意)
