对专门破坏杀毒软件的病毒AV终结者的深层次分析 --YxMall|多用户商城|C2C系统|仿淘宝商城-易想:中国行业网站开发第一品牌- Powered
我要买
我要卖
商品求购
社区
帮助
会员中心
购物车
我的收藏
数字键--选择栏目 / 确定键--打开 / 左键--返回 / 右键--前进 / 首页--数字键0
首页
品牌商城
购物集市
二手闲置
热卖商品
购物资讯
手机数码
女人
男人
运动
家居
母婴
影视书籍
游戏
护肤
搜索商品
搜索店铺
搜索掌柜
搜索资讯
请选择分类
女装-女士精品-童装
彩妆-香水-护肤-保健
珠宝首饰-手表-眼镜
女士箱包-鞋帽-配件
数码相机-摄像机-图形冲印
书籍-报纸-杂志
电影-电视-音乐-曲艺
宠物-工艺品-礼品-鲜花-明星
邮币-古董-字画-收藏
住宅-商铺-办公楼租售
汽车/配件/改装/摩托/自行车
成人用品/避孕用品/情趣内衣
网络游戏虚拟商品
手机-通讯设备
手机-网络电话-充值中心
电脑-软件-网络-办公
笔记本电脑-笔记本电脑配件
随身视听-音响-耳机
运动-休闲-健身-极限运动
户外-野营-军品-旅游-机票
家居日用-家电-食品-物流
男装-男鞋-男包-服饰配件
Zippo-瑞士军刀-男人饰品
玩具-模型-卡通产品
动漫周边-游戏周边
婴幼-孕妇用品
请选择分类
电脑网络
美容化妆
影音无限
居家生活
娱乐八卦
潮流服饰
摄影摄像
黄金书屋
茶余饭后
男人世界
运动户外
爱宠一族
网游天地
情感驿站
靓鞋靓包
动漫世界
手机通讯
诚信安全
爆料馆
收藏投资
无奇不有
经验谈
站内公告
二手闲置
商城促销
品牌资讯
团购动态
女人世界
数码天地
汽车一族
天下美食
母婴专区
时尚生活
易通社
搜 索
[ 高级搜索 ]
[ 使用帮助 ]
热门搜索121
:
mp3
女鞋
手机
比基尼
魔兽世界
内存
个人闲置
芭比娃娃
特价机票
吊带裙
沙滩裤
防晒霜
数码相机
二手房
首页
>>
新闻频道
>>
电脑网络
>>对专门破坏杀毒软件的病毒AV终结者的深层次分析
对专门破坏杀毒软件的病毒AV终结者的深层次分析
(2007-6-12 9:17:29 阅读次)
对专门破坏杀毒软件的病毒AV终结者的深层次分析
我最近中了AV终结者,苦不堪言,正一筹莫展之际,来到了金山毒霸铁军的blog,看到了这篇深层次的分析文章,真是及时雨啊,问题迅速解决了。在这里谢谢金山毒霸。最近破坏杀毒软件的AV终结者闹的厉害,我把这篇好文转给大家,我为人人,人人为我^_^。
今天刚得到的新消息,中国证券网挂马了。我们从那个站抓到个新病毒。
分析报告在这里http://vi.duba.net/index.php?CODE=02&virusid=38990&action=viewgraph
有关AV终结者病毒的相关参考信息,大家可以在这个地址仔细看,
http://hi.baidu.com/litiejun/blog/item/38fc223b17282eeb14cecb62.html
算了,为了方便大家,我还是把地址文章贴出来吧,在帖子的后面 我为人人,人人为我~
AV终结者分析报告:这个病毒就是有网友提到的8位随机文件名的病毒程序。该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播;病毒还会关闭windows安全中心和windows防火墙,以降低系统安全性。
以下是详细分析报告,金山毒霸已经推出了病毒专杀工具,该工具同时可以帮你修复被映像劫持的注册表,在遇到其它病毒有类似现象时,也可以使用。请访问这里下载。
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
上一条:
Intel 45nm新架构支持三通道...
下一条:
电脑网络...
投资收藏
·818你用过的防晒产品吧,参与即有奖
·《我在那一角落患过伤风》
·]“唯”我最爱,海豚音王子广州演唱会
·陶喆上海演唱会 期待"最佳情人"(组
·孟庭苇皈依佛门已7年 复出不浪费好嗓
·宣萱露背黑衣清凉亮相 一姐架势大(图
·杨坤新辑渴望边走边唱 否认炮轰李宇春
·韩国电视剧从不插播广告 观众就是上帝
·看一次震撼一次的图片
靓鞋靓包
·运动鞋穿着保养说明
·38℃降温首选 蓝+白清凉装
·夏日精品凉鞋8款
·用丙烯颜料涂抹你的生活——手绘包包
·运动与休闲最IN混穿
·GUCCI秋冬男女装 奢华IN中性O
·我的店铺: 【茗香阁】
·夏日节能穿衣术 天然材质最好
开源商城
四川商务网
天翼手机
网络营销
阿里后爸
关于我们
|
常见问题
|
安全交易
|
购买流程
|
如何付款
|
配送方式
|
诚征英才
|
联系我们
|
送货范围
|
服务条款
售前咨询:028-66006880 售后服务:028-66006880 传真:028-86935502 移动电话:13980854559
Copyright 2006-2008 ChangeHope All Rights Reserved
版权所有 成都易想网络技术有限公司
