熱點推薦:
您現在的位置: 電腦學習網 >> 網絡技術 >> 正文

如何清除AV終結者

2013-09-12 15:53:48  來源: 網絡技術 

  送走了讓人聞風喪膽的“熊貓燒香”,近日又有一種超破壞力的病毒“AV終結者”大肆席卷互聯網,不到一個月時間,變種就已達數百個之多,波及人群超過十幾萬人。由于這款病毒破壞力十分霸道,一旦感染就很難清除。
  那么“AV終結者”到底是什么?其實它就是由隨機8位數字和字母組合而成的病毒,是閃存寄生病毒,其傳播是通過閃存等存儲介質或者注入服務器來實現的。
  我們要如何預防這顆互聯網超級炸彈?萬一被它攻陷了電腦,重裝系統后仍無法清除,我們又該怎么辦?本文將為您消除所有的疑惑,打造一個安全的操作系統,保障您的財產安全以及機密信息不會受到損失。
“AV終結者”憑什么這么“跩”
1.生成隨機文件名
  對“AV終結者”的樣本文件進行分析后,可以發現其手段相當的毒辣。病毒運行后會在系統中生成如下幾個文件:C:\program files\Common Files\Microsoft Shared\MSInfo\隨機生成病毒名.dat、C:\Program Files\Common Files\Microsoft Shared\MSInfo\隨機生成病毒名.dll(圖1)、C:\windows\隨機生成病毒名.hlp、C:\windows\help\隨機生成病毒名.chm。
  “AV終結者”的病毒名是由大寫字母+數字隨機組合而成的,其長度為8位,可以說生成相同病毒名的概率是極小的。www.hbhskj.tw因此即使我們知道了這是病毒生成的文件,也別指望通過病毒名在網絡上找到病毒的清除方法。
2.通過“自動播放”傳播
  病毒運行后會在本地磁盤和移動磁盤中復制病毒文件和anuorun.inf文件,當用戶雙擊盤符時就會激活病毒,即使重裝系統,也是無法將病毒徹底清除的。這是目前很多病毒熱衷的傳播方法,不少用戶也懂得需要刪除病毒生成的anuorun.inf文件,但是當我們進入“文件夾選項”,想顯示隱藏文件時,可以發現這里已經被病毒給禁用了。
3.干掉殺毒軟件
  針對殺毒軟件的攻擊,是“AV終結者”的特點。病毒會終止大部分的殺毒軟件和安全工具的進程。國內絕大多數的殺毒軟件和安全工具都被列入了黑名單。當殺毒軟件暫時失去作用時,病毒就會乘勝追擊,通過一種“映像劫持”技術將殺毒軟件徹底打入死牢。
  “映像劫持”會在注冊表的“HKEY_LOCAL_MACHINE\SOFTWAR E\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options”位置新建一個以殺毒軟件和安全工具程序名命名的項。建立完畢后,病毒還會在里面建立一個Debugger鍵,鍵值為“C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\05CC73B2.dat”(圖2)。這樣當我們雙擊運行殺毒軟件的主程序時,運行的其實是病毒程序。
4.注入系統進程
  為了避免在“任務管理器”中露出破綻,病毒會將自己的進程注入到系統的資源管理器進程explorer.exe中,這樣我們就無法通過“任務管理器”發現病毒的進程了。病毒進程的主要作用是監視系統中的用戶操作,例如你想手動清除病毒,修改注冊表,病毒每隔一段時間就會把注冊表改回去,讓你白費勁。另一個作用是監視IE窗口,發現用戶搜索病毒資料時,立即關閉網頁。
  此外,病毒還會破壞Windows防火墻和安全模式,封堵用戶的后路。最重要的是,病毒會從網絡上下載大量的盜號木馬,盜取用戶的游戲賬戶信息,這才是“AV終結者”的真正目的。
徹底清除“AV終結者”
  手動查殺“AV終結者”相對于其他病毒來說比較困難,因為它有不少保護措施。但保護措施做得再好還是有破綻可尋的,清除病毒可以按照以下步驟:
  Step1:運行“任務管理器”,結束其中的“explorer.exe”進程。單擊“任務管理器”的“文件”菜單,選擇“新建任務”,輸入“regedit”運行“注冊表編輯器”。定位到HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall處,將Check edValue的鍵值改為“1”(圖3)。
  Step2:在“注冊表編輯器”定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,將以殺毒軟件和安全工具命名的項刪除。
  Step3:在“資源管理器”中單擊“工具”菜單→“文件夾選項”,切換到“查看”標簽,取消“隱藏受保護的操作系統文件”前面的鉤,然后選中“顯示所有文件和文件夾”選項。根據上文中提供的路徑刪除所有病毒文件。刪除其他分區中的病毒,注意不要雙擊進入盤符,而要用右鍵點擊進入。
如何預防“AV終結者”
  首先,要禁止自動播放功能,并及時更新最新系統補丁,尤其是MS06-014和MS07-017這兩個補丁。
  其次,要限制IFEO的讀寫權,達到限制病毒通過IFEO劫持殺毒軟件的目的。操作方法如下:單擊“開始→運行”,在命令行中輸入regedit32 ,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execu tion Options,右鍵單擊此選項,在彈出的菜單中選擇“權限”,然后把Administrors用戶組和Users用戶組的權限全部取消即可(圖4)。
  最后,要限制SAFEBOOT的讀寫權,達到限制“AV終結者”修改或刪除Drives,保護安全模式正常運行的目的。操作方法如下:同樣是在32位注冊表中找到 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D3 6E967-E325-11CE-BFC1-08002BE 10318}和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\ Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},將Administrors用戶組和Users用戶組的權限全部取消即可。
  編后:本文介紹的清除方法需要手動操作,對注冊表不熟悉的朋友可以用“AV終結者”專殺工具,并配合SREng、Autoruns、IFEO映像劫持修復工具、修復安全模式.REG、恢復顯示隱藏文件.REG使用,也可以徹底清除病毒,這些軟件都可以到http://www.cpcw.com/bzsoft下載。

 
如何清除Trojan.Small.dxt病毒

  論壇求助人氣貼:我的電腦最近感染上了一個名為Trojan.Small.dxt的病毒,我用《北信源》殺毒軟件進行查殺,雖然殺毒軟件提示成功清除病毒,但是經常會復發,即使我重裝了操作系統,病毒仍然存在。請問《電腦報》的安全專家,這是一種什么病毒?病毒清除后為什么會死灰復燃?為什么重裝系統也沒有用?
  安全專家:根據讀者提供的信息,該病毒全名為:Trojan-Downloader.win32.small.dxt,是一種具有下載性質的木馬病毒。該病毒主要通過閃存等可移動存儲設備進行傳播,并且會利用IE漏洞,將木馬病毒下載到用戶的計算機中運行。病毒的目的是盜取用戶的游戲賬戶。
  讀者提到了該病毒被查殺后會死灰復燃,其實這個現象已經十分普遍了,因為這是目前流行的病毒主要采用的自我保護方法,通過Autorun.inf文件讓系統的“自動播放”功能來觸發病毒再次運行。
  讀者在使用北信源殺毒軟件的時候已經將系統中的病毒清除了,只不過還存在一定的病毒殘留。這些殘留包括一個Autorun.inf文件和一個病毒文件,這兩個文件分別位于硬盤各個分區的根目錄中。
  用殺毒軟件殺完毒后,此時系統中是沒有病毒的,但是當我們雙擊分區盤符的時候,Autorun.inf就會發揮其作用,從而再一次運行病毒文件。那么如何判斷分區中是否有Autorun.inf文件呢?我們可以用右鍵單擊分區盤符,如果右鍵菜單中多出了一個“Auto”的選項。就可以證明分區中存在Autorun.inf文件。
解決方案
  知道病毒為什么清除不干凈的原因后,我們再來修復被破壞的系統設置,從而避免再一次運行病毒。我們要做的就是清除殘留的病毒文件。這里要注意,不要雙擊盤符進入分區,也不要通過右鍵進入,因為這兩種情況都可能再次運行病毒。下面我們可用安全工具IceSword來進行病毒文件的清除。
  首先,運行IceSword,切換到“文件”功能,單擊其中的“可移動磁盤C”,在軟件右側的內容欄中會出現C盤根目錄下的所有文件,找到其中的Autorun.inf和病毒文件setup.exe(圖1),右鍵選中后將它們刪除。用同樣的方法清除其他分區中的病毒殘留文件,至此病毒文件就被我們清除完畢了。
  然后,我們來修復被破壞的系統。目標是恢復被病毒破壞的“文件夾選項”,單擊“開始→運行”,輸入“regedit”運行“注冊表編輯器”,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\ Explorer\Advanced\ Folder\Hidden\SHOWALL]項,將鍵值修改為“CheckedValue”=dword:000000 01”,關閉“注冊表編輯器”后,“顯示所有文件和文件夾”就可以正常使用了(圖2)。
  “善后”工作到這里就結束了。讀者的最后一個問題也有了答案,因為我們重裝系統,一般都是格式化C盤,而不是全盤格式化,因此除了C盤以外,其他盤中的病毒殘留文件還是存在的,當你雙擊除C盤以外的分區盤符時,病毒自然就再一次運行了。所以當你確實要重裝系統來解決病毒問題時,要將其他分區中的病毒殘留文件清除干凈。
編輯觀點:關閉系統“自動播放”防閃存病毒
  文章介紹了目前比較流行的閃存病毒的特征,利用Autorun.inf文件來保護自身不被徹底刪除,這讓重裝系統就能解決一切病毒的時代一去不復返了。Autorun.inf文件利用的是系統的“自動播放”功能(病毒特別喜歡利用該功能),因此我們可以通過“組策略”將它關閉,這樣病毒就會失去了一條重要的傳播途徑。
  關閉方法如下:執行“開始→運行”命令,在彈出的對話框中輸入“gpedit.msc”命令,在彈出的“組策略”窗口中依次選擇“計算機配置→管理模板→系統”,雙擊“關閉自動播放”,在彈出窗口中的“設置”選項卡中選擇“已啟用”,然后單擊“確定”按鈕即可(圖3)。

 
如何破解免殺的流氓軟件

  現在流氓軟件大行其道,這段時間好像一下子銷聲匿跡了。其實它們依然存在,只不過“隱身”了而已,為什么會這樣?因為流氓軟件采用了木馬、病毒常用的免殺技術,換了個馬甲就實現了“來無影”。
  由于不同的安全工具采用的查殺方法是不一樣的,殺毒軟件主要利用病毒特征碼進行分辨,而反流氓軟件一般利用流氓軟件的進程名稱等信息進行查殺。
  所以流氓軟件喜歡針對殺毒軟件采用一些病毒木馬常用的免殺方法,而針對反流氓軟件就需要對程序的內部特征消息進行修改,但也有二者兼有的流氓軟件,這就更難防范了。下面我們以“360安全衛士”能檢測出的“很棒小秘書”(未免殺版)為例,演示流氓軟件是如何制作針對殺毒軟件和反流氓軟件免殺的以及我們應該如何防范。
免殺怎樣做出來的
  首先,利用檢測工具PEiD(軟件下載地址:http://www.cpcw.com/bzsoft )對“很棒小秘書”的安裝包進行檢測,從檢查的結果為“什么都沒找到”得知該安裝包沒有進行過任何加殼處理(圖1)。我們知道很多安全工具都是利用某些關鍵字為查殺的目標,所以要對程序中的關鍵字進行修改,這些關鍵字包括“很棒小秘書”、“很棒公司”、“henbang”等。
  接著,運行修改程序C32Asm(軟件下載地址:http://www.cpcw.com/bzsoft),點擊“文件”菜單中的“打開十六進制文件”命令選擇安裝程序,再點擊“搜索”菜單中的“搜索”命令,在彈出的窗口中的搜索選項中分別填入上面這些關鍵字進行搜索(圖2)。
  搜索到后,在它們的路徑上面點擊鼠標右鍵,選擇“粘貼”命令,用其他的關鍵字進行復制。需要注意的是復制的關鍵字長度要一樣,此外不能使用“替換”功能,它在十六進制下不起作用。
  然后,運行調試工具OllyDbg(軟件下載地址:http://www.cpcw.com/bzsoft)載入修改后的流氓軟件,對它的文件頭進行簡單的修改。選中文件頭的第一句后,點擊鼠標右鍵中的“匯編”命令,在彈出的匯編窗口分別將這些語句更改為“NOP”即可(圖3)。  選擇剛剛修改的這些語句,選擇右鍵中的“復制到可執行文件”菜單中的“選擇”命令,最后在彈出的窗口通過右鍵中的“保存文件”命令將修改的服務端程序進行保存就可以了。
  最后,再利用加殼程序對“很棒小秘書”進行處理,這樣更具有欺騙性。運行加殼程序ASProtect(軟件下載地址:http://www.cpcw.com/bzsoft),在“保護文件”和“輸出文件”選項中分別設置服務端程序以及程序加殼處理后的輸出地址,直接點擊“保護”標簽中的“保護”按鈕即可(圖4)。
  免殺制作完成后,用戶還需要修改“很棒小秘書”的程序安裝,對安裝目錄中的文件名和文件目錄等重要的信息進行修改,以免反流氓軟件利用這些信息對程序進行查殺,再利用WinRAR等程序將該流氓軟件和其他程序進行封裝即可。
  現在我們到多引擎在線殺毒網頁(http://virusscan.jotti.org/)上,對修改的“很棒小秘書”程序進行檢測,發現僅有一個殺毒引擎能檢測出來,其他的都無能為力(圖5)。另外我們再利用反流氓軟件中的佼佼者“360安全衛士”,對修改版 “很棒小秘書”系統進行檢測,同樣也沒有檢測到有什么流氓軟件的“生命跡象”。
防范方案
1.使用主動防御軟件
  說到主動防御就不得不說“System Safety Monitor”(軟件下載地址:http://www.cpcw.com/bzsoft)這款軟件,該軟件屬于Host-based Intrusion Prevention System(HIPS),可以小到每個進程大到整個磁盤底層保護系統免受不良程序的危害。該軟件的功能包括最常見的注冊表保護、文件保護、磁盤系統保護、防止進程注入等。當它檢測到程序存在危險的操作的時候,就會彈出一個對話窗口提示用戶,這樣就可以比較好的起到防范作用。
  小提示:HIPS是一種能監控用戶電腦中文件運行的軟件,如果文件運用了其他程序并且要對注冊表進行修改,就會發出報告請求允許,如果選擇了“阻止”,程序就不會運行。
2.分解流氓軟件
  用戶可以利用“Universal Extractor” (軟件下載地址:http://www.cpcw.com/bzsoft)這款萬能的提取器,將程序封裝包中的流氓軟件先分離出來。這款工具幾乎可以提取任何安裝格式的文檔,無論是簡單的壓縮文件,還是現在流行的打包工具等,甚至連 Windows Installer (.msi) 程序包,它也能輕松自如地提取出其中的文件。這樣我們就可以將捆綁其中的流氓軟件清除后,再進行相關軟件的安裝操作了。
攻防博弈
  黑客 小恐龍:道高一尺魔高一丈,只要我們想做就可以輕易地躲過任何軟件的檢測。除了使用免殺外,還可以利用“映像劫持”技術來屏蔽一些殺毒和安全軟件。這樣在它們還沒有進行檢測的時候,就已經讓它們“殘廢”了,哈哈!
  編輯:對那些藏得越來越隱蔽的流氓軟件,最有效的防范方法就是及時更新安全軟件,并且只到可靠的大網站下載軟件。此外,“映像劫持”技術并不是破解不了的,使用映像劫持修復工具即可。

 
From:http://www.hbhskj.tw/Article/Network/201309/418.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.   
    体彩内蒙古十一选五82