“超級AV終結(jié)者”解析與防范

2009年1月， 一個綜合了AV終結(jié)者、機器狗等技術(shù)的病毒， 一個每分鐘進(jìn)行1萬次ARP攻擊的病毒， 一個會讓所有網(wǎng)管頭疼、用戶抓狂的病毒誕生了——超級AV終結(jié)者。 被它“光顧”后， 大家都上不了網(wǎng)， 中毒者痛苦， 未中毒者也痛苦。 如果你能克制該病毒， 解救身邊的同事， 你就會成為同事心中的“英雄”!在克制該病毒前， 我們先來摸摸該病毒的底吧。 　

　　病毒名稱：Win32.TrojDownloader.NsPassT.bm.50688

　　中文名稱：超級AV終結(jié)者

　　病毒類型：下載類病毒

　　病毒目的：破壞局域網(wǎng)， 下載盜號木馬

　　2007年：映像劫持

　　曾經(jīng)， 防范病毒僅僅需要在病毒特征庫里加上幾段特征碼， 在防火墻中加入端口號即可。 可是， 就像《生化危機》里的病毒一樣， “販毒”者的貪欲和野心是沒有極限的。 在這種野心的驅(qū)使下， 在電腦前的我們走進(jìn)了一個病毒進(jìn)化的新時代。

　　AV終結(jié)者， 當(dāng)它出現(xiàn)的時候， 幾乎所有的中毒者都想到了四個字：無計可施。 映像劫持， 當(dāng)你運行任何的“正常”應(yīng)用程序， 甚至當(dāng)你想啟動你的殺毒軟件的時候， 你會沮喪地發(fā)現(xiàn)， 這一切都是徒勞的， 你就是點QQ， 運行的進(jìn)程不過還是一個復(fù)雜的病毒進(jìn)程。 調(diào)試程序用的映像劫持， 本來是一個中性詞， 在AV終結(jié)者的面前， 徹底成為了一個病毒犯罪的貶義詞， 讓人聞之色變。 在映像劫持面前， 很多人選擇了重裝系統(tǒng)。

　　可是， 重裝系統(tǒng)的受害者卻發(fā)現(xiàn)， 這一切還是徒勞的。 因為病毒已經(jīng)進(jìn)化到不僅劫持映像， 還用閃存病毒的機理武裝了自己， 當(dāng)格式化C盤重裝系統(tǒng)后， 滿懷希望地打開自己的其他分區(qū)時， 又陷入萬劫不復(fù)之中……

　　2008年：穿透還原卡

　　AV終結(jié)者沒有故步自封， 一直在謀求新的病毒技術(shù)， 這時它盯上了機器狗。 以前， 還原卡是所有網(wǎng)管對付未知病毒的最終殺手锏， 重啟系統(tǒng)， 病毒灰飛煙滅。 然而在機器狗的面前， 這道防線再度失守。

　　機器狗通過自動釋放出的內(nèi)核級驅(qū)動程序文件pcihdd.sys， 采用物理直接讀寫方式繞過還原卡的監(jiān)控， 感染系統(tǒng)核心文件%SystemRoot%\system32\userinit.exe， 從而造成還原卡失效。

　　AV終結(jié)者結(jié)合了機器狗的病毒技術(shù)， 也具備了穿透還原卡的功能， 它再一次發(fā)動大規(guī)模攻擊。

　　2009年：ARP

　　在2009年再次“華麗”登場的AV終結(jié)者， 已經(jīng)具備ARP攻擊的能力， 成為了超級AV終結(jié)者。 在超級AV終結(jié)者ARP攻擊之下， 局域網(wǎng)用戶會非常痛苦。 因為該病毒的ARP攻擊頻率高達(dá)每分鐘1萬次以上， 在幾分鐘的時間內(nèi)， 就能阻塞由數(shù)百臺電腦組成的局域網(wǎng)。 當(dāng)攻擊達(dá)到最高峰時， 連病毒作者自己指定的網(wǎng)址也無法訪問。

　　而進(jìn)化到這個程度的病毒， 還在尋找有縫的“蛋”。 從新發(fā)布的安全漏洞補丁中用快速反編譯制作出新的病毒， 然后通過生成器快速制作不同的變種并快速散布將會是一個新的“進(jìn)化趨勢”。 而繼續(xù)進(jìn)行病毒特色的“雜交”， 更是以后病毒發(fā)展的不二法門。

　　摸清了超級AV終結(jié)者的底， 我們就可以動手克制該病毒了。 學(xué)會了克制方法后， 在為同事和朋友解決該病毒引起的電腦故障時， 你就會得心應(yīng)手， 就會感受到崇拜的目光。 　克制病毒方案

　　第一步：局域網(wǎng)中， 如果某臺電腦的殺毒軟件無法正常運行， 十之八九超級AV終結(jié)者就在這臺電腦中。 在目標(biāo)電腦中安裝《金山ARP防火墻》(軟件下載地址：http://www.mydown.com/soft/263/263753.html )， 這樣就可以攔截本機對外進(jìn)行的ARP攻擊。 接著運行《金山系統(tǒng)急救箱》， 由于病毒修改了大量的系統(tǒng)注冊表信息， 所以掃描的時間要長一些(圖1)。 掃描完成以后， 直接點擊“立即重啟”按鈕即可。

　　第二步：運行《金山清理專家》目錄下的KBOX.exe。 調(diào)出“進(jìn)程管理器”， 勾上“顯示加載到進(jìn)程中的DLL”選項， 再點擊“找出存在風(fēng)險的進(jìn)程”按鈕， 就可以看到很多以HB開頭的DLL文件， 直接選中這些有風(fēng)險的模塊， 點擊鼠標(biāo)右鍵， 在彈出的菜單中選擇“定位文件”命令。

　　在彈出的System32文件夾里面， 按時間對所有文件進(jìn)行排序， 把所有與HB**.dll文件同時創(chuàng)建的文件全部選中， 然后啟動百寶箱的文件粉碎器(圖2)， 把這些文件全部拖到粉碎器的窗口， 再單擊“徹底刪除”按鈕即可。

　　第三步：重新啟動系統(tǒng)， 啟動《金山清理專家》， 點擊“惡意軟件查殺”中的“惡意軟件”項， 掃描完成后會發(fā)現(xiàn)多個惡意程序， 直接點擊“清除選定項”按鈕就可以清除這些惡意軟件。 接著點擊“安全百寶箱”中的“系統(tǒng)修復(fù)工具”按鈕(圖3)， 這樣程序就會自動檢測被破壞的系統(tǒng)消息， 再點擊“修復(fù)選中項”按鈕就可以成功地進(jìn)行修復(fù)。

　　最后重新安裝殺毒軟件并升級病毒庫到最新版本， 再進(jìn)行全盤查殺， 將病毒殘留物徹底清除干凈。