AV终结者病毒破坏杀毒软件 十万台电脑"裸奔"

AV终结者病毒破坏杀毒软件 十万台电脑"裸奔"

作者：admin  来源：互联网  发布时间：2007-6-13 12:52:13

[url=]减小字体[/url] [url=]增大字体[/url] 文章引自：http://www.diqiuc.com/virus/sort071/555_2.html

6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，变种数已达500多 个，波及人群超过10万人。 关于AV终结者 金山毒霸客户服务中心最近收到大量用户求助，用户反馈的现象大致差不多：杀毒软件不能用，想用搜索引擎去查找一些解决办法，输入杀毒，浏览器窗口就被关掉。在金山毒霸论坛，也有大量用户反应相同或类似的情况。而在珠海毒霸研发部，已经监测到此类病毒泛滥的情况。监测发现了一系列反击杀毒软件，破坏系统安全模式，植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”，AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。 病毒现象 1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。 2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。 3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。 4. 禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。 5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复 6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。 7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。 8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。 传播方式 1. 通过U盘、移动硬盘的自动播放功能传播 2. AV终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。 因为这个病毒同样会攻击金山毒霸，已经中毒的电脑会发同金山毒霸不能启动，双击没反应。利用手动解决相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下： 1. 在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具 下载地址：http://zhuansha.duba.net/259.shtml 2. 在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件： 把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。 3. 执行AV终结者专杀工具，清除已知的病毒，修复被系统配置。 （注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。） 4. 不要立即重启电脑，然后启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。 防范措施 因为AV终结者病毒一旦感染，清除过程相当复杂，可能不少用户 就会去重装。我们建议用户不要轻易重装系统，使用我们推荐的步骤完成清除，必要时拨打客服电话，请求支持。请采取以下措施防范AV终结者病毒 1. 使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵。 2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁。 3. 升级杀毒软件，开启实时监控 4. 网管采取综合措施防范ARP攻击挂马事件，有关ARP攻击的解决办法，请参考附件二 5. 关闭windows的自动播放功能 附件一：关闭Windows自动播放功能 1. 使用组策略编辑器 点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。 2. 使用金山毒霸提供的禁止自动播放功能 启动毒霸主程序，工具菜单下找到综合设置，在其它设置中选中禁止U盘和硬盘的自动播放功能。 附件二：防范ARP病毒攻击 现在局域网中感染ARP 病毒的情况比较多，清理和防范都比较困难，给不少的网络管理 员造成了很多的困扰。下面就是个人在处理这个问题的一些经验，同时也在网上翻阅 了不少 的参考资料。 ARP 病毒的症状： 有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此， 拷贝文件无法完成，出现错误；局域网内的ARP 包爆增，使用Arp 查询的时候会发现不正 常的Mac 地址，或者是错误的Mac 地址对应，还有就是一个Mac 地址对应多个IP 的情况 也会有出现。 ARP 攻击的原理： ARP 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内，或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。 处理办法： 通用的处理流程： 1 .先保证网络正常运行 方法一：编辑个***.bat 文件内容如下： 　　arp.exe s 　　**.**.**.**（网关ip） **** 　　** 　　** 　　** 　　**（ 　　网关mac 地址） 　　end 让网络用户点击就可以了! 办法二：编辑一个注册表问题，键值如下： 　　Windows Registry Editor Version 5.00 　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

quot;mac"="arp s
网关IP 地址网关Mac 地址"
然后保存成Reg 文件以后在每个客户端上点击导入注册表。
2 找到感染ARP 病毒的机器。
a：在电脑上ping 一下网关的IP 地址，然后使用ARP －a 的命令看得到的网关对应的MAC 地址是否与实际情况相符，如不符，可去查找与该MAC 地址对应的电脑。
b：使用抓包工具，分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己，有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。
c：使用mac 地址扫描工具，nbtscan 扫描全网段IP 地址和MAC 地址对应表，有助于判断感染ARP 病毒对应MAC 地址和IP 地址。
预防措施：
1，及时升级客户端的操作系统和应用程式补丁；
2，安装和更新杀毒软件。
4，如果网络规模较少，尽量使用手动指定IP 设置，而不是使用DHCP 来分配IP 地址。
5，如果交换机支持，在交换机上绑定MAC 地址与IP 地址。（不过这个实在不是好主意）

[ 本帖最后由 @叶子@ 于 2007-6-22 09:31 编辑 ]