“AV終結者”即”帕蟲”是壹系列反擊殺毒軟件,破壞系統安全模式、植入木馬下載器的病毒,它指的是壹批具備如下破壞性的病毒、木馬和蠕蟲。“AV終結者”名稱中的“AV”即為英文“反病毒”(An-ti-virus)的縮寫。它能破壞大量的殺毒軟件和個人防火墻的正常監控和保護功能,導致用戶電腦的安全性能下降,容易受到病毒的侵襲。同時它會下載並運行其他盜號病毒和惡意程序,嚴重威脅到用戶的網絡個人財產。此外,它還會造成電腦無法進入安全模式,並可通過可移動磁盤傳播。目前該病毒已經衍生多個新變種,有可能在互聯網上大範圍傳播。“AV終結者”設計中最惡毒的壹點是,用戶即使重裝操作系統也無法解決問題:格式化系統盤重裝後很容易被再次感染。用戶格式化後,只要雙擊其他盤符,病毒將再次運行。“AV終結者”會使用戶電腦的安全防禦體系被徹底摧毀,安全性幾乎為零。它還自動連接到某網站,下載數百種木馬病毒及各類盜號木馬、廣告木馬、風險程序,在用戶電腦毫無抵抗力的情況下,魚貫而來,用戶的網銀、網遊、QQ賬號密碼以及機密文件都處於極度危險之中。
傳播途徑
“AV終結者”的重要傳播途徑是U盤等移動存儲介質。它通過U盤、移動硬盤的自動播放功能傳播,建議用戶暫時關閉電腦的這壹功能。用戶近期壹定要註意U盤使用安全,不要在可疑電腦上使用U盤,以免自己的電腦受到傳染。
病毒特征
這種病毒主要特征有:禁用所有殺毒軟件以及相關安全工具,讓用戶電腦失去安全保障;致使用戶根本無法進入安全模式清除病毒;強行關閉帶有病毒字樣的網頁,只要在網頁中輸入‘病毒’相關字樣,網頁遂被強行關閉,即使是壹些安全論壇也無法登陸,用戶無法通過網絡尋求解決辦法。
病毒現象
·1. 生成很多8位數字或字母隨機命名的病毒程序文件,並在電腦開機時自動運行。
·2. 綁架安全軟件,中毒後會發現幾乎所有殺毒軟件,系統管理工具,反間諜軟件不能正常啟動。即使手動刪除了病毒程序,下次啟動這些軟件時,還會報錯。
·3. 不能正常顯示隱藏文件,其目的是更好的隱藏自身不被發現。
·4. 禁用windows自動更新和Windows防火墻,這樣木馬下載器工作時,就不會有任何提示窗口彈出來。為該病毒的下壹步破壞打開方便之門。
·5. 破壞系統安全模式,使得用戶不能啟動系統到安全模式來維護和修復。
·6. 當前活動窗口中有殺毒、安全、社區相關的關鍵字時,病毒會關閉這些窗口。假如妳想通過瀏覽器搜索有關病毒的關鍵字,瀏覽器窗口會自動關閉。
·7. 在本地硬盤、U盤或移動硬盤生成autorun.inf和相應的病毒程序文件,通過自動播放功能進行傳播。這裏要註意的是,很多用戶格式化系統分區後重裝,訪問其它磁盤,立即再次中毒,用戶會感覺這病毒格式化也不管用。
·8. 病毒程序的最終目的是下載更多木馬、後門程序。用戶最後受損失的情況取決於這些木馬和後門程序。
防範措施
對於病毒而言,良好的防範措施,好過中毒之後再絞盡腦汁去尋找查殺方法,而且壹旦感染該病毒,清除過程相當復雜,因此,在采訪中,金山、江民、瑞星等幾家公司的反病毒專家們向記者提供了針對該病毒防範措施:
1.保管好自己的U盤,MP3、移動硬盤等移動儲存的使用,當外來U盤接入電腦時,請先不要急於雙擊打開,壹定要先經過殺毒處理,建議采用具有U盤病毒免疫功能的殺毒軟件,如KV2007 獨有的U盤盾技術,可以免疫所有U盤病毒通過雙擊U盤時運行。
2. 給系統打好補丁程序,尤其是MS06-014和MS07-17這兩個補丁,目前絕大部分的網頁木馬都是通過這兩個漏洞入侵到計算機裏面的。
3. 即時更新殺毒軟件病毒庫,做到定時升級,定時殺毒。
4.安裝軟件要到正規網站下載,避免軟件安裝包被捆綁進木馬病毒。
5.關閉windows的自動播放功能。
病毒解決方案
方法壹:
因為這個病毒會攻擊殺毒軟件,已經中毒的電腦殺毒軟件沒法正常啟動,雙擊沒反應,因而這時無法用殺毒軟件來清除;利用手動解決也相當困難,並且,AV終結者是壹批病毒,不能簡單的通過分析報告來人工刪除。推薦的清除步驟如下:
1. 在能正常上網的電腦上到/259.shtml 下載AV終結者病毒專殺工具。
2. 在正常的電腦上禁止自動播放功能,以避免通過插入U盤或移動硬盤而被病毒感染。禁止方法參考方案附件:
把AV終結者專殺工具從正常的電腦復制到U盤或移動硬盤上,然後再復制到中毒的電腦上。
3. 執行AV終結者專殺工具,清除已知的病毒,修復被系統配置。
(註:AV終結者專殺工具的重要功能是修復被破壞的系統,包括修復映像劫持;修復被破壞的安全模式;修復隱藏文件夾的正常顯示和刪除各磁盤分區的自動播放配置。)
4. 不要立即重啟電腦,然後啟動殺毒軟件,升級病毒庫,進行全盤掃描。以清除木馬下載器下載的其它病毒。
方法二:
去黑聯盟或黑客動畫吧,下載壹個AV生成器,運行後(註意別單擊生成),選“卸載本地服務端”。
手動清除辦法
1.到網上下載IceSword工具,並將該工具改名,如改成abc.exe 名稱,這樣就可以突破病毒進程對該工具的屏蔽。然後雙擊打開IceSword工具,結束壹個8位數字的EXE文件的進程,有時可能無該進程。
2.利用IceSword的文件管理功能,展開到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,刪除2個8位隨機數字的文件,其擴展名分別為:dat 和dll 。再到%windir%\help\目錄下,刪除同名的.hlp或者同名的.chm文件,該文件為系統幫助文件圖標。
3. 然後到各個硬盤根目錄下面刪除Autorun.inf 文件和可疑的8位數字文件,註意,不要直接雙擊打開各個硬盤分區,而應該利用Windows資源管理器左邊的樹狀目錄來瀏覽。有時電腦中毒後可能無法查看隱藏文件,這時可以利用WinRar軟件的文件管理功能來瀏覽文件和進行刪除操作。
4.利用IceSword的註冊表管理功能,展開註冊表項到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],刪除裏面的IFEO劫持項。
當完成以上操作之後,就可以安裝或打開殺毒軟件了,然後升級殺毒軟件到最新的病毒庫,對電腦進行全盤殺毒。(手動清除辦法由江民反病毒專家提供
病毒分析
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{隨機8位字母+數字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{隨機8位字母+數字名字}.dll
%windir%\{隨機8位字母+數字名字}.hlp
%windir%\Help\{隨機8位字母+數字名字}.chm
也有可能生成如下文件
%sys32dir%\{隨機字母}.exe
替換%sys32dir%\verclsid.exe文件