当前位置: SUCOP 超级巡警 >> 安全新闻 >> 资讯阅读
AV终结者变种(Trojan-Downloader.Win32.Todon.ae)分析与解决方案
出处:超级巡警 时间:2008年07月03日10:05 查看:... 次 超级巡警
巡警团队近日捕获AV终结者变种,并对其进行了详细的分析,该病毒属于木马下载者,运行后释放病毒副本到各个逻辑驱动器的根目录下,对安全软件进行映像
劫持,使安全软件失效,删除安全模式,并删除windows自带防火墙加载的驱动文件是防火墙失效,用户中此病毒很难完全清除干净。
超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Todon.ae
病毒别名:AV终结者变种
病毒类型:木马下载者
危害级别:4
感染平台:Windows
病毒大小:26,712 字节
SHA1 : 5A9144B70F863E81364DFF8FBA13F6308AE24F2A
加壳类型:NSpack V3.7
开发工具:Borland Delphi
病毒行为:
1、病毒运行以后释放文件:
%SystemDrive%autorun.inf
%SystemDrive%mstblht.exe
%ProgramFiles%meex.exe
%ProgramFiles%Common FilesMicrosoft Sharedivhlxlq.exe
%ProgramFiles%Common FilesMicrosoft Sharedxapbadv.inf
%System%verclsids.exe
%DriveLetter%autorun.inf
%DriveLetter%mstblht.exe
2、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、
ArSwp.exe、AST.exe、autoruns.exe、AvastU3.exe、avconsol.exe、avgrssvc.exe、
AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、ghost.exe、HijackThis.exe、
IceSword.exe、iparmo.exe、Iparmor.exe、irsetup.exe、isPwdSvc.exe、
KaScrScn.SCR、KASMain.exe 、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、
KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、
KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、
KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、Navapsvc.exe、Navapw32.exe、
nod32krn.exe、nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、
QHSET.exe、QQDoctor.exe、QQKav.exe、QQSC.exe、Ras.exe、Rav.exe、
RavMonD.exe、RavStub.exe、RavTask.exe、RegClean.exe、rfwcfg.exe、
rfwsrv.exe、RsAgent.exe、Rsaupd.exe、rstrui.exe、runiep.exe、safelive.exe
scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、
TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、
UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、
UpLive.exe、USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe zjb.exe
kabaload.exe、rfwmain.exe、RavMon.exe、nod32.exe、MagicSet.exe、
3、添加注册表自启动项,使病毒在启动计算机后能自启动
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "mstblht"
Type: REG_SZ
Data: C:Program FilesCommon FilesMicrosoft Sharedivhlxlq.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "xapbadv"
Type: REG_SZ
Data: C:Program FilesCommon FilesSystemlknhrbm.exe
4、删除安全模式相关注册表键值,导致用户无法正常进入安全模式:
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
5、删除Windows自带防火墙挂钩的驱动,导致防火墙失效
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWBEMWDM "C:WINDOWSsystem32DRIVERSipnat.sys[IPNATMofResource]"
Type: REG_SZ
Data: LowDateTime:-2072545792,HighDateTime:29924701***Binary mof compiled successfully
6、下载病毒列表
http://www.web***.com/readdown.txt【链接已失效】
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、结束病毒进程。打开超级巡警ToolsLoader.exe工具(此工具在超级巡警安装目录下),选择进程管理功能,终止ivhlxlq进程。
2、删除病毒生成的文件。
%SystemDrive%autorun.inf
%SystemDrive%mstblht.exe
%ProgramFiles%meex.exe
%ProgramFiles%Common FilesMicrosoft Sharedivhlxlq.exe
%ProgramFiles%Common FilesMicrosoft Sharedxapbadv.inf
%System%verclsids.exe
%DriveLetter%autorun.inf
%DriveLetter%mstblht.exe
3、删除病毒的启动项。打开超级巡警,选择启动管理,删除名为"mstblht"、xapbadv的启动项。
4、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动/映象劫持,修复即可。
三、安全建议(根据情况,适当增删,保留十条左右)
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、禁用不必要的服务。
3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
4、不要随意下载不安全网站的文件并运行。
5、下载和新拷贝的文件要首先进行查毒。
6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS 系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Downloader.Win32.Todon.ae
病毒别名:AV终结者变种
病毒类型:木马下载者
危害级别:4
感染平台:Windows
病毒大小:26,712 字节
SHA1 : 5A9144B70F863E81364DFF8FBA13F6308AE24F2A
加壳类型:NSpack V3.7
开发工具:Borland Delphi
病毒行为:
1、病毒运行以后释放文件:
%SystemDrive%autorun.inf
%SystemDrive%mstblht.exe
%ProgramFiles%meex.exe
%ProgramFiles%Common FilesMicrosoft Sharedivhlxlq.exe
%ProgramFiles%Common FilesMicrosoft Sharedxapbadv.inf
%System%verclsids.exe
%DriveLetter%autorun.inf
%DriveLetter%mstblht.exe
2、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、
ArSwp.exe、AST.exe、autoruns.exe、AvastU3.exe、avconsol.exe、avgrssvc.exe、
AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、ghost.exe、HijackThis.exe、
IceSword.exe、iparmo.exe、Iparmor.exe、irsetup.exe、isPwdSvc.exe、
KaScrScn.SCR、KASMain.exe 、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、
KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、
KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、
KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、loaddll.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、Navapsvc.exe、Navapw32.exe、
nod32krn.exe、nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、
QHSET.exe、QQDoctor.exe、QQKav.exe、QQSC.exe、Ras.exe、Rav.exe、
RavMonD.exe、RavStub.exe、RavTask.exe、RegClean.exe、rfwcfg.exe、
rfwsrv.exe、RsAgent.exe、Rsaupd.exe、rstrui.exe、runiep.exe、safelive.exe
scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、
TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、
UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、
UpLive.exe、USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe zjb.exe
kabaload.exe、rfwmain.exe、RavMon.exe、nod32.exe、MagicSet.exe、
3、添加注册表自启动项,使病毒在启动计算机后能自启动
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "mstblht"
Type: REG_SZ
Data: C:Program FilesCommon FilesMicrosoft Sharedivhlxlq.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "xapbadv"
Type: REG_SZ
Data: C:Program FilesCommon FilesSystemlknhrbm.exe
4、删除安全模式相关注册表键值,导致用户无法正常进入安全模式:
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}
5、删除Windows自带防火墙挂钩的驱动,导致防火墙失效
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWBEMWDM "C:WINDOWSsystem32DRIVERSipnat.sys[IPNATMofResource]"
Type: REG_SZ
Data: LowDateTime:-2072545792,HighDateTime:29924701***Binary mof compiled successfully
6、下载病毒列表
http://www.web***.com/readdown.txt【链接已失效】
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、结束病毒进程。打开超级巡警ToolsLoader.exe工具(此工具在超级巡警安装目录下),选择进程管理功能,终止ivhlxlq进程。
2、删除病毒生成的文件。
%SystemDrive%autorun.inf
%SystemDrive%mstblht.exe
%ProgramFiles%meex.exe
%ProgramFiles%Common FilesMicrosoft Sharedivhlxlq.exe
%ProgramFiles%Common FilesMicrosoft Sharedxapbadv.inf
%System%verclsids.exe
%DriveLetter%autorun.inf
%DriveLetter%mstblht.exe
3、删除病毒的启动项。打开超级巡警,选择启动管理,删除名为"mstblht"、xapbadv的启动项。
4、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统修复,选中修复安全模式启动/映象劫持,修复即可。
三、安全建议(根据情况,适当增删,保留十条左右)
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、禁用不必要的服务。
3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
4、不要随意下载不安全网站的文件并运行。
5、下载和新拷贝的文件要首先进行查毒。
6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS 系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
责任编辑:yzh
评论本文
游客 发表于 2008-7-5 12:02
讲解非常细化、时普通电脑用户能跟照所列方法步骤进行查杀恢复被病毒侵蚀破坏的系统、喜欢玩电脑的也可以认识和加强防范病毒的能力、
很感谢 超级巡警 的工作研发人员、
