引:类似AV终结者的病毒,会把杀毒软件做为攻击的第一道关。攻击成功后,会使用下载器下载一堆的木马,本案例就在解决掉新病毒后,升级毒霸查到10多个盗号木马。
听dodo说,发现一MM的电脑好象中了终结者,用毒霸的专杀修复后,毒霸仍不能启动。要来QQ,远程连接过去看个究竟。网速限制,整了一个小时,最终搞定,写总结文章比修复简单多了。
1.给MM传过去需要的工具软件:AV终结者专杀,autoruns,冰刃,process explorer。
2.分别运行这四个工具,只有专杀可以启动,其它工具未能启动。尝试进入kav2007目录,发现毒霸主程序,清理专家均无法启动。autoruns和Process Explorer改名后可以运行。冰刃改名后,打开即被关闭,毒霸和清理专家也一样。
3.在autoruns的explorer页发现2个DLL,a1d29050.dll和msacn.dll(使用autoruns时,一定要选中隐藏MS签名认证的项目,不然要累死)。
将这两个DLL复制到桌面的新建文件夹备份。然后将process explorer改名后运行,在进程explorer中查找相关线程。找到4个正在运行的线程,立即将病毒线程暂停。
4.这时已经发现冰刃可以正常使用了,所以就选择用process Explorer杀掉了相关线程。
5.继续使用autoruns查看服务,找到3个未知服务。不过,事后证实这三个服务与毒霸不能运行无关,是毒霸可杀的木马程序。
6.接下来,进入毒霸目录,双击uplive.exe升级。
7.升级完成后,双击kav32.exe执行病毒扫描。结束发现了10多个已知木马。当然,这几个令毒霸,冰刃无法运行的DLL,是新病毒。
为确保清除成功,建议MM扫描完毕后再和AV终结者修复一下注册表,因为这个病毒让隐藏文件无法正常显示,这个AV终结者修复工具,刚好可以解决这个问题。
补充一点,在使用autoruns的过程中,发现病毒已经删除了毒霸注册的服务,因此,电脑如果重启的话,会发现实时监控不能被加载。
总结:
类似AV终结者的病毒,会把杀毒软件做为攻击的第一道关。攻击成功后,会使用下载器下载一堆的木马,本案例就在解决掉新病毒后,升级毒霸查到10多个盗号木马。
预计在一段时间内,采用这种手法的盗号集团将十分猖獗。请网友参考AV终结者的综合方案采取防御措施。 |
