科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道“AV终结者219648”阻止杀毒软件的更新

“AV终结者219648”阻止杀毒软件的更新

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

"AV终结者219648"这是av终结者变种木马之一。"暗中破坏"这是一个后门程序,允许黑客在客户毫不知情的情况下,通过网络远程控制客户计算机。

作者:金山 2007年9月27日

关键字: 杀毒软件 病毒预报 金山

  • 评论
  • 分享微博
  • 分享邮件

"AV终结者219648"(Win32.Troj.Agent.219648)这是av终结者变种木马之一。该变种采用ring3级hook技术直接删除杀毒软件文件,修改hosts文件劫持众多网站,阻止杀毒软件更新。

还会通过注入进程,创建一个线程来保护其添加的注册表键值不被删除;监控运行的程序,终止杀毒软件或安全工具运行;修改注册表,禁止用户运行命令提示符工具,破坏安全模式,如果用户尝试进入,会看到机子蓝屏;尝试连接远程服务器下载病毒文件。

"暗中破坏者"(Win32.Hack.Huigezi.277419)这是一个后门程序,允许黑客在客户毫不知情的情况下,通过网络远程控制客户计算机。在客户计算机上创建服务,以达到开机能自启动自身。创建 iexplorer.exe 和 calc.exe 进程,注入病毒代码达到迷惑客户的作用。

一、"AV终结者219648"(Win32.Troj.Agent.219648) 威胁级别:★★

1.复制自身至%sys32dir%\{根据病毒文件时间属性命名} %sys32dir%\{随机文件名}.jxh

2.修改注册表,禁用用户使用cmd命令提示符

3.注入进程,尝试关闭带以下关键字的杀毒软件或安全工具Smallfrogs Kingsoft Antivirus Kingsoft Antispyware TrojanDetector Micropoint Kingsoft wopticlean 360safe ......

4.尝试连接远程服务器获取修改hosts文件的列表

5.通过删除相关注册表项导致无法正常进入安全模式

二、"暗中破坏者"(Win32.Hack.Huigezi.277419) 威胁级别:★

1.病毒成功在客户计算机上运行后会删除自身。在客户计算机上创建 iexplorer 进程和 calc.exe 进程。(病毒执行代码注入)连接黑客指定的地址,允许黑客通过网络远程控制客户计算机。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒,用户在安装反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等,遇到问题要上报, 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章