解读“AV终结者”病毒

关于AV终结者
6 _/ q! e0 Z8 ^: ?- N4 G7 m7 I% @7 X9 f金山毒霸客户服务中心最近收到大量用户求助，用户反馈的现象大致差不多：杀毒软件不能用，想用搜索引擎去查找一些解决办法，输入杀毒，浏览器窗口就被关掉。在金山毒霸论坛，也有大量用户反应相同或类似的情况。而在珠海毒霸研发部，已经监测到此类病毒泛滥的情况。监测发现了一系列反击杀毒软件，破坏系统安全模式，植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”，AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。

9 B9 ?8 i7 k% i5 v; P( F9 p: c

请注意，这是一批具备相似现象的病毒，请不要把它理解为某个病毒的变种。

+ g& F  I8 x: C- E8 |! N病毒现象7 ?  q' W" @' q7 K9 x, B5 X# D; @
1.生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。0 `6 j: u! P- R; Y/ ?( E. m
2.绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。比如，运行Sreng时，会出现这个错误
% s% ~& J, S+ ?, E. S

sreng_err.PNG (12.8 KB)

2007-6-11 17:03

6 @4 B( ~  z( ^1 i3 [% g9 {1 L) H3.不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。
1 e9 M: O- R  Q' R1 n$ f4.禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。6 S( e2 I/ [/ a; d# `. o& d4 r/ ]2 O

aaa.png (45.72 KB)

2007-6-11 17:03

3 b% q! Y2 ~+ {6 t
5.破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复3 y. P4 w6 n: V* n2 H
6.当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。
* ~. _6 P' ^" D0 @* p- |- n7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。
& ?( s) ~: F& E) u8 J8.病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

, x, R6 X, y/ `  T+ l2 W% Q) Q传播方式+ I- j& w3 q& @% n
1.通过U盘、移动硬盘的自动播放功能传播
% `$ E+ J$ C7 g+ e- r) E. y2.AV终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播（主要是ANI蠕虫漏洞）。和前一段时间ARP攻击的病毒泛滥有关。

解决方案（修正版）, M; Y6 T' r2 n  v* y2 \7 c- H
"AV终结者"病毒一旦入侵，清除过程相当复杂，可能不少用户就会选择重装。我们建议用户不要轻易重装系统，建议使用我们推荐的步骤完成病毒的清除，必要时请拨打毒霸客服电话请求支持，金山毒霸的客户服务电话是010-82331816。
+ o, U  P. j* K8 _' l( J0 a
" D" R, d" B4 c7 r; K2 `* u+ u因为这个病毒同样会攻击金山毒霸，已经中毒的电脑会发现金山毒霸不能启动，双击没反应。利用手动解决相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。我们推荐您参照如下清除步骤如下：) k! o% X2 T' `4 }6 [6 [
, z4 @; f; Q4 W( j% ~5 V3 k
1.在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具（最新版本为4.2）/ d* j4 X: B6 a
下载地址：http://zhuansha.duba.net/259.shtml$ b7 U1 g0 _8 U" n7 M

% s/ `% T! w5 r, R2.在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。: \; {, c  O/ ?8 _2 n
禁止步骤参考这里：http://hi.baidu.com/litiejun/blog/item/15bf9d3e1bfad2fb838b135c.html0 a% F* d- j9 ?4 F8 X( ~' ?
" j1 s1 n6 y- I* ]- c
3.把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。
. D- R+ o' |( Q1 X" u
5 k3 z0 }  K+ W4.执行AV终结者专杀工具，清除已知的病毒，修复被系统配置。
# A: A$ `, t. p4 ~（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区病毒配置的自动播放。）$ l% b/ h" y' C4 j6 n  b, A$ t

终结者专杀4.2.png (105.29 KB)

2007-6-27 13:45

& v+ q% K# h7 [2 x& w$ ?# }, Z/ S
% z4 ?1 ^, ~( j7 E- c' ?% k5.现在可以试试启动毒霸，升级病毒库后，进行全盘杀毒。可以清除已知AV终结者病毒和该病毒下载的一系列木马。
+ r# M* I' v/ b, q1 I/ V/ Z( e( U' N& h
防范措施6 ?( R' o5 c; w. w
请采取以下措施防范AV终结者病毒：
+ Q9 s, c1 c- _) p4 w1.使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵。" o/ \  h5 ^* F; d

$ z* [0 ]3 j& Y  c0 z( G9 [2.使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁。
; X' B' [, I* y8 I  n, E6 ?8 i2 Q7 r9 c, h' K
3.升级杀毒软件，开启实时监控7 \9 }% g+ `4 _" z3 S
3 S) P5 y" p4 h( y1 o' s( [  m
4.网管采取综合措施防范ARP攻击挂马事件，有关ARP欺骗的解决办法，请参考：http://hi.baidu.com/litiejun/blog/item/9e3ff0092e837a82d1581ba1.html
. m& `  C; ]+ \- `4 c; v. c% H3 _! i4 h7 {$ q  ?
5.关闭windows的自动播放功能，点击http://hi.baidu.com/litiejun/blo ... fad2fb838b135c.html查看

关于AV终结者病毒专杀的使用说明

( G( P) @3 E5 N$ j; F: }4 e
AV终结者病毒专杀工具最新版本为4.2，该专杀工具同时提供强大而易用的系统修复功能，同时可清除已知的AV终结者病毒。
# Y9 j& j. @* ^) H: b2 h4 s, |5 l/ n, a, Y+ P, J; W  `3 y/ U! |6 _5 w
具体功能有：$ r( z7 x  c% C' C
1，修复映像劫持! N4 b! B/ v3 f) ~+ ~. x9 y$ I
2，修复Autorun.inf. N: i8 u0 E5 O
3，修复安全模式
6 h9 A. ]. B0 b8 |5 n! @- [4，查杀av终结者
! p$ ~0 i/ C$ ]. `5，修复病毒创建ws2_32.dll文件夹干扰杀毒软件运行# g2 B: }" t% b
6，保护毒霸不被病毒破坏7 d0 V. |  {6 [7 \9 u
7，自动升级功能: u8 i9 k% R+ i" S, @9 H$ t' h
8，程序崩溃时，收集错误报告，利用改进产品功能
4 P4 @1 a1 A5 l4 Q
. R" _! Q) M) U0 i5 E$ w# G0 K) f新版专杀下载地址：http://zhuansha.duba.net/259.shtml
, |  m  V4 E2 r3 L5 ?# F- U$ J9 @

不行呀,没有查到病毒...但毒霸还是更新不了,按保护毒霸它说不支持我的操作系统..有什么办法?

杀不不了那毒..........杀了下次重起他又回出现的  那该怎么办?????/而且还狂弹出中毒文件..........

我连清理专家都开不了啊~~~这怎么杀？？？？？？？？

呵呵 那么恐怖....不过前几楼的说也太那个了  说实话 现在我还没中过毒呢2 a9 l4 x: \! |( B" s  b
7 K1 O7 _4 U0 E6 P7 N# {& t
[ 本帖最后由 KSEE0635512 于 2007-7-18 16:08 编辑 ]

简直无能为力````即使格盘过``病毒不断出来``````这毒太猛了```
# @4 o* h: ~+ e) e2 o) s+ p- J专杀真的有效果吗````根本没有扫描出东西啊```
  r% _( k. F% F  |9 M( i0 N# g
6 G6 u1 T% I: k: w[ 本帖最后由 SOS001XX 于 2007-7-18 23:24 编辑 ]

我的机器感染终结者，但用此软件扫描后没有发现病毒！不知你的工具是咋啦！

感谢楼主动态更新了这个终截者专杀,我们单位的200多台电脑一直处于良好的运行状态,电脑需要这样的高手

把AV终结者专杀4.2吹上了天哦,根本就垃圾工具一个.中了AV终结者它根本就杀不了,杀了马上又出现了。杀不了毒就别吹牛哦。

肯定还要配合其他的软件呀,晕,现在哪个专杀能包治百病呀,再说了,现在病毒变种也快呀

根本无法在中毒的机子上运行了，病毒已经升级了，专杀要跟进才行了

引用:

原帖由 jjss777777 于 2007-7-19 10:05 发表
4 i: H: |) Q) u5 G+ n7 G我的机器感染终结者，但用此软件扫描后没有发现病毒！不知你的工具是咋啦！

* h  b1 x0 t4 @' o" n, G" S  r
: I8 t+ Q2 V9 C# U* `0 Y
我处理的一台机器也是这样，扫描没有发现病毒，框里列了一堆病毒名，提示重起移除，重起后一切如故，毒霸不能安装，有杀毒字样的网页不能进入。

杀不了啊。

c:\windows\system32\appmgmts.dii
- D4 t" i% Y; K% ^8 S7 ec:\program files\winpcap\rpcapd.exe) W1 ?- t9 q# m+ m/ S
8 J; F* L) U2 e
　我前几天可浏览几下载了个金山清理专家２.０检查后是健康的，自从检查出来这两个未知文件就是亚健康的了，　请问这两个未知的文件对系统有害吗～！谢谢～！

大家好：
, k( K% t2 T. G0 V6 Q我的电脑被朋友用了几次后，中了AvKiller的病毒。病毒特征如下： 4 w% ]& _: a$ C: \
1.每个盘都有auto文件，要右击打开。
& f) r4 |, ~+ N7 c+ \) f) l2.msconfig 启动里面有mppds.exe,kvsc3.exe,winform.exe文件，关也关不掉。 3 t! v$ P. i9 N: S, C
3.无法查看隐藏文件
' u# U' @: r) ~4.一开电脑，毒霸提示Win32.Hack.NsAnti.eb.43611，Win32.Troj.AvKiller.hs.23040
* t& }; X9 p/ v5.在安全模式下，貌似删掉，其实没有。
  z; a$ v) }/ @+ S8 g5 H5 ~6.注册表也全部查找删掉了，还是会复发。
1 M% Q2 |( Z' D3 F+ ?+ m1 ?- `7 p$ Y# s7.用金山AV终结者专杀V4.2不管用。
6 E. R' z9 w' q. |9 x, B/ l& |' b* ?+ T" P: ?( V
虽然电脑用起来没有什么，可以正常上网，毒霸开机也在运行。听说这网游可以盗取密码，用起来不放心，暂时也不想重装电脑，大家有没有好主意？
" S0 h* J, {+ l. Y) k/ `! Q, B3 C
5 J5 v( f6 I, U& q( U: A[ 本帖最后由 debahaodangpu 于 2007-7-22 08:39 编辑 ]

一开电脑,金山毒霸就弹出一大堆东西出来,说中了av killer病毒,看不了隐藏文件,每个盘都是auto,c:\windows\有这三个东东,mppds.exe,kvsc3.exe,winform.exe,救命呀.- d$ A% \# p# K+ p
0 d: j; V" }. F9 u/ x) H3 `& d
[ 本帖最后由 debahaodangpu 于 2007-7-21 23:52 编辑 ]