当前位置: SUCOP 超级巡警 >> 安全新闻 >> 资讯阅读

 

Trojan.Win32.KillAV.amx(vmdetdhc.exe、beep.sys)分析与解决方案

出处:超级巡警 时间:2008年09月12日16:50 查看:... 次 超级巡警
       超级巡警团队监测到恶意程序Trojan.Win32.KillAV.amx,该病毒释放副本到系统文件夹下,添加注册表自启动项,释放驱动文件 beep.sys替换系统的文件,屏蔽杀毒软件主动防御,并且可对病毒进行升级更新。超级巡警团队提醒广大用户及时更新病毒库,对该程序进行有效查杀。
 
一、病毒相关分析:

              病毒标签:
              病毒名称:Trojan.Win32.KillAV.amx
              病毒类型:木马
              危害级别:3
              感染平台:Windows
              病毒大小:35,328字节
              SHA1 :  CEEB3BCB0901C2B577E382F749EF805B9BED93A5
              加壳类型:UPX
              开发工具:Borland Delphi

              病毒行为:
              1、病毒运行以后释放副本和其他病毒。
                   %system%vmdetdhc.exe
                   %Temp%DFJIOPS4849.tmp
                   %Temporary Internet Files%Content.IE5WP2FCTIVdown333[1].txt

              2、添加注册表项,实现开机病毒自启动。
                   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "vmdetdhc.exe"
                   Type: REG_SZ
                   Data: C:WINDOWSsystem32vmdetdhc.exe

              3、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%drivers文件夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。

              4、下载更新文档,该文档可对病毒实时更新,并且弹出广告窗口,干扰用户正常使用计算机。
                    更新文档:http://aa.9***.net:82/down333.txt
                    更新的病毒:http://218.22.***.43:81/466515.exe
 
二、解决方案
 
              推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
              超级巡警下载地址:http://www.sucop.com/download/16.html
 
              手工清除方法:
              1、结束病毒进程。打开超级巡警,选择进程管理功能,终止DFJIOPS4849.tmp进程。
              2、删除病毒生成的文件。
                   %system%vmdetdhc.exe
              3、删除病毒添加的注册表项
                   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "vmdetdhc.exe"
                   Type: REG_SZ
                   Data: C:WINDOWSsystem32vmdetdhc.exe
 
三、安全建议

              1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
              2、禁用不必要的服务。
              3、不要随便打开不明来历的电子邮件,尤其是邮件附件。
              4、不要随意下载不安全网站的文件并运行。
              5、下载和新拷贝的文件要首先进行查毒。
              6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
              7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
 

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它:
              %SystemDrive%                                                             系统安装的磁盘分区
              %SystemRoot% = %Windir% WINDODWS                     系统目录
              %ProgramFiles%                                                          应用程序默认安装目录
              %AppData%                                                                   应用程序数据目录
              %CommonProgramFiles%                                              公用文件目录
              %HomePath%                                                                当前活动用户目录
              %Temp% =%Tmp%                                                        当前活动用户临时目录
              %DriveLetter%                                                               逻辑驱动器分区
              %HomeDrive%                                                               当前用户系统所在分区

责任编辑:yzh

平均:0.0分(0 次)

-5 -4 -3 -2 -1 0 1 2 3 4 5

评论本文

  • 评论主题:
  • 您的大名: 留空为匿名
  • 您的主页:
  • 您的邮箱:

  • 评论内容不能为空
ٶȴ֤ɫԱ