“AV终结者219648”阻止杀毒软件的更新

"AV终结者219648"(Win32.Troj.Agent.219648)这是av终结者变种木马之一。该变种采用ring3级hook技术直接删除杀毒软件文件，修改hosts文件劫持众多网站，阻止杀毒软件更新。

还会通过注入进程，创建一个线程来保护其添加的注册表键值不被删除；监控运行的程序，终止杀毒软件或安全工具运行；修改注册表，禁止用户运行命令提示符工具，破坏安全模式，如果用户尝试进入，会看到机子蓝屏；尝试连接远程服务器下载病毒文件。

"暗中破坏者"(Win32.Hack.Huigezi.277419)这是一个后门程序，允许黑客在客户毫不知情的情况下，通过网络远程控制客户计算机。在客户计算机上创建服务，以达到开机能自启动自身。创建 iexplorer.exe 和 calc.exe 进程，注入病毒代码达到迷惑客户的作用。

一、"AV终结者219648"(Win32.Troj.Agent.219648) 威胁级别：★★

1.复制自身至%sys32dir%\{根据病毒文件时间属性命名} %sys32dir%\{随机文件名}.jxh

2.修改注册表，禁用用户使用cmd命令提示符

3.注入进程，尝试关闭带以下关键字的杀毒软件或安全工具Smallfrogs Kingsoft Antivirus Kingsoft Antispyware TrojanDetector Micropoint Kingsoft wopticlean 360safe ......

4.尝试连接远程服务器获取修改hosts文件的列表

5.通过删除相关注册表项导致无法正常进入安全模式

二、"暗中破坏者"(Win32.Hack.Huigezi.277419) 威胁级别：★

1.病毒成功在客户计算机上运行后会删除自身。在客户计算机上创建 iexplorer 进程和 calc.exe 进程。(病毒执行代码注入)连接黑客指定的地址，允许黑客通过网络远程控制客户计算机。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。