[分享] 警惕AV终结者新变种借“黄金周契机”卷土重来！

童话

通过对最近一段时间流行病毒的观察发现，AV终结者似乎有卷土重来的趋势，且新变种首发更为恶劣，通常是AV终结者作为先头部队，起到为其他更多的木马和病毒的入侵“扫清障碍”的作用。
今天就接到一个AV终结者新变种，以下是该病毒的分析：
File: wecjmlp.exe
Size: 26799 bytes
MD5: AFE92FC0A38625C29F32D58F157C2FB3
SHA1: 3C646D5695BE2C0FC2D26818FE0D1126F4A95E15
CRC32: 15C60562
1.生成如下文件
%Program Files%\meex.exe
%Program Files%\Common Files\system\wecjmlp.exe(随机7位字母）
%Program Files%\Common Files\system\tlekcms.inf(随机7位字母）
%Program Files%\Common Files\Microsoft Shared\ehjjvdb.exe(随机7位字母）
%Program Files%\Common Files\Microsoft Shared\tlekcms.inf(随机7位字母）
在d~z盘下释放随机7位字母的exe和autorun.inf
2.病毒首次运行时会检查带有如下字样的窗口并将其关闭
我的电脑
我的電腦
My Computer
3.查找进程中是否存在avp.exe 如果有则把时间改为1980-01-23
4.修改如下文件夹属性为隐藏
Common Files\system
Common Files\Microsoft Shared

5.修改如下服务的start值为4（禁用服务）
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\helpsvc
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
HKLM\SYSTEM\CurrentControlSet\Services\RSPPSYS

6.关闭带有如下字样的窗口
System
Shared
2007
Sysint
Virus
Trojan
meex
autorun
USBCle
WinRAR
Ghost
Process
卡巴
江民
瑞星
毒霸
恶意
流氓软件
上报
QQ安全
举报
预警
进程
System
Shared
微点
上報
舉報
诊断
                               2007
Sysint
Virus
Trojan
meex
报警
autorun
AV终结
一键
木马
木馬
殺毒
查毒
杀毒
病毒
360安全
编辑字符串
中毒
USBCle
:\ - WinRAR
Ghost
还原
以及带有自身进程名的窗口
且测试中Icesword即使改名也被最小化

7.结束如下进程（包括但不限于）（受文章篇幅所限，贴图示意）
Snap1.jpg (79.6 KB)
2007-9-26 00:46


8.每隔1000ms调用cmd执行
cmd /c echo Y| cacls autorun.inf /t /g everyone:F
的命令 把每个盘符下面的autorun.inf权限设为everyone 然后将其改名

9.删除Software\Microsoft\Windows\CurrentVersion\Run下面名为AVP和KVMON的项目
10.删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
11.修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Type值为checkbox2
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden值为0x00000000
0x00000000
破坏显示隐藏文件

12添加HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项目劫持到%Program Files%\Common Files\Microsoft Shared下的病毒文件（包括但不限于）（受文章篇幅所限，贴图示意）
Snap2.jpg (83.62 KB)
2007-9-26 00:46


13.在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建启动项目分别指向两个病毒文件
14.病毒“黑吃黑”，搜索如下文件，如果搜索到了则把他们重命名
niu.exe
sbl.dll
wniapsvr.exe
Shell.exe
Shell.pci
crsss.exe
chost.exe
ctfm0n.exe
NATIVE.exe
directx.exe
progmon.exe
internt.exe
SoftDLL.dll
MySetup.exe
SocksA.exe
algssl.exe
svrhost.dll
wnipsvr.exe
Session.exe
algsrvs.exe
msfun80.exe
msime82.exe
msfir80/exe
fixfile.exe
WMDSINFO.dll
Mcshie1d.exe
Exp1orer.exe
compobj32.dll
Web\css.css
Com\lsass.exe
IME\svchost.exe
Com\smss.exe
Debug\debug.exe
tools\explorer.exe
drivers\csrss.exe
MSInfo\system.2dt
MSInfo\newtemp.dll
MSInfo\NewInfo.bmt
MSInfo\System16.ins
MSInfo\System16.jup
Common Files\svchost.cnc
Internet Explorer\msvcrt.dll
Internet Explorer\PLUGINS\NewTemp.bak
Internet Explorer\PLUGINS\NewTemp.dll

15.并把bsmain.exe重命名为bsmains.exe
把verclsid.exe重命名为verclsids.exe

16.连接网络下载木马和病毒
下载间隔3000ms，并且下载后的木马运行后都将删除自身
下载木马到program files下面
命名方法为在下载的木马的原文件名前分别加入如下字符
1A
2B
3C
4D
5E
6F
7G
8H
9I
10J
（即如果第一个木马的名字是a.exe，那么下载后到program files下面的就会被命名为1Aa.exe，以此类推）
该病毒一共可以下载10个木马
（由此可以看出此类病毒应该已经存在了生成器，可以批量生产病毒）

清除办法：
由于每个变种下载的木马不同，所以在此不讲述其下载的木马的清除办法
下载修改版的IceSword.exe
1.把IceSword.exe重命名为其他名称
打开后 依次点击菜单栏中的文件－设置
Snap1.jpg (122.74 KB)
2007-9-26 00:46


勾选禁止进线程创建的勾 确定
Snap2.jpg (101.84 KB)
2007-9-26 00:46


在进程一栏中找到%Program Files%\Common Files\system\(随机7位字母）.exe
%Program Files%\Common Files\Microsoft Shared\(随机7位字母）.exe
把他们的进程全部结束
Snap3.jpg (124.94 KB)
2007-9-26 00:46


并且要记住他们的名字
2.单击 IceSword左下角的文件按钮

删除%Program Files%\Common Files\system\(随机7位字母）.exe
%Program Files%\Common Files\Microsoft Shared\(随机7位字母）.exe
和%Program Files%\Common Files\Microsoft Shared\(随机7位字母）.inf
%Program Files%\Common Files\system\(随机7位字母）.inf
%Program Files%\meex.exe
Snap4.jpg (73.33 KB)
2007-9-26 00:46


3.删除d~z盘根目录下的 随机7位字母,exe和autorun.inf(一定不要忘记这个）

修复系统
下载sreng
http://download.kztechs.com/files/sreng2.zip
运行 启动项目 注册表 删除所有红色的IFEO项目
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下面的随机7位字母启动项目
本次测试为如下键值  
<tlekcms><C:\Program Files\Common Files\System\wecjmlp.exe>    []
      <muijfke><C:\Program Files\Common Files\Microsoft Shared\ehjjvdb.exe>    []
sreng 修复>Windows shell/IE 选中 显示隐藏文件 单击 下面的修复
sreng 修复>高级修复>修复安全模式 在弹出的窗口中点击 是

         最后要强调的是，随着黄金周的到来，病毒作者们也会利用这个大好时机疯狂的制作新的恶性病毒，所以一定要警惕尤其是这种利用U盘等移动存储传播的恶性病毒的入侵，关闭电脑的自动播放功能，U盘等移动存储插入电脑后一定要及时扫描病毒，不给病毒以可乘之机！
注:本帖转自剑盟中国社区

dangdang

不错，黄金周的病毒会很多，要好好防护。谢谢提供信息。

dgzw

好麻烦啊 卡巴能杀不

mimishenlong

哈哈哈
AV终结者楼主说的到是挺怕的一件事,不过我对我用的瑞星还是充满信心!

lanshende

AV终结者楼主说的到是挺怕的一件事,不过我对我用的瑞星还是充满信心!