该病毒是木马病毒。病毒运行后会在系统目录下建立档案名称为kernelwind32.exe、kernelw.sys的病毒档案,通过载入非法服务,并试图关闭多种防毒软体。该病毒可以修改系统注册表,实现随系统自启动,病毒将自身隐藏起来而不能被发现。病毒禁用任务管理器,可以收集用户电脑的信息并传送到黑客指定的网站,还能够连线到黑客指定的网站上下载新的病毒。
基本介绍
- 中文名代理登入器变种AZZ病毒
- 清除方法安装瑞星防毒软体
- 特点可以修改系统注册表
- 档案名称kernelw.sys
此程式为DL类型程式 1、病毒运行后,会把自己複製到%system32%目录下,档案名称为kernelwind32.exe。并释放一个驱动程式档案名称为kernelw.sys。
(1)kernelwind32.exe是病毒本身。
(2)Kernelw.sys是一个恶意的驱动程式,当该驱动被载入后,会禁止以下程式载入或运行vsdatant.sys,watchdog.sys,zclient.exe,bcfilter.sys,bcftdi.sys,bc_hassh_f.sys,bc_ip_f.sys,bc_ngn.sys,bc_pat_f.sys,bc_prt_f.sys,bc_tdi_f.sys,filtnt.sys,sandbox.sys,mpfirewall.sys,msssrv.exe,mcshield.exe,fsbl.exe,avz.exe,avp.exe,avpm.exe,kav.exe,kavss.exe,kavsvc.exe,klswd.exe,ccapp.exe,ccevtmgr.exe,ccpxysvc.exe,iao.exe,issvc.exe,rtvscan.exe,savscan.exe,bdss.exe,bdmcon.exe,livesrv.exe,cclaw.exe,fsav32.exe,fsm32.exe,gcasserv.exe,icmon.exe,inetupd.exe,nod32krn.exe,nod32ra.exe,pavfnsvr.exe,Windows-KB890830-V1.32.exe。
(3)驱动程式HOOK了ZwQueryDirectoryFile,ZwEnumerateValueKey使用户在我的电脑中,无法查看到档案名称、注册表、进程中含有kernelw字元串的档案。
2、绕过Windows自带防火墙;
病毒利用windows的netsh命令在不经过用户允许的情况下强制把自己加入到Windows防火墙的可用列表中,这样当病毒运行后,要连线主机要下载档案时,Windows防火墙就会自动放过病毒程式。
病毒用netsh的以下命令行绕过Windows自带防火墙netsh firewall set allowedprogram VirusName enable。运行后,病毒等待3秒时间,让以上程式执行。
3、3秒以后病毒会修改注册表项,为病毒以后启动作些準备。
(1)增加启动项,当系统在次启动后,病毒也随系统一起运行
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"System" = C:\WINDOWS\system32\kernelwind32.exe
(2)禁用任务管理器,当用CTRL+ALT+DELETE后,会出现任务管理被禁用的提示。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system
"disabletaskmgr" = 0x00000001
(3)增加病毒的驱动程式服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver
(ImagePath)\??\C:\WINDOWS\system32\kernelw.sys
4、病毒会收集一些本机的信息以以下的方式传送会指定的网站:
病毒会收集本机的作业系统信息如作业系统版本、CPU类型、哪个国家的语言等。
病毒传送的方式如下
adv/010/adload.php?
a1=People's Republic of China&
a2=Type of Processor: PENTIUM PRO or PENTIUM II/III&
a3=Windows version is 5.1&
a4=Build: 2600, Platform ID: 2&
a5=notoutpost&table=adv10
5、下载档案并生成档案运行:
病毒会从http://XXXX..net/32647543ygwvrhbjt3h4evjrbgnrt.php?adv=10&code1= LN0H&code2=5150下载档案并运行下载后的程式。
安全建议
1 安装正版防毒软体、个人防火墙和卡卡上网安全助手,并及时升级,瑞星防毒软体每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑外挂程式。
4 不接收QQ、MSN、Emial等传来的可疑档案。
5 上网时打开防毒软体实时监控功能。
6 把网银、网游、QQ等重要软体加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法
瑞星防毒软体清除办法
安装瑞星防毒软体,升级到19.46.61版以上,对电脑进行全盘扫描,按照软体提示进行操作,即可彻底查杀。