七月终结者病毒 英文名(Worm.Win32.Autorun.smn),通过挂马网站、随身碟传播,对360、nod32等多种安全软体有针对性的破坏或劫持,下载大量木马病毒,破坏系统的一些功能,具有“机器狗”病毒功能,能够破坏系统还原。
基本介绍
- 中文名七月终结者病毒
- 外文名Worm.Win32.Autorun.smn
- 作用破坏系统的一些功能
- 传播途径挂马网站、随身碟
简介
1、病毒运行后会将自身属性设定为“系统,隐藏”,并判断当前同目录下是否存在autorun.inf档案,如果存在则打开当前病毒所在的盘符。如果不存在autorun.inf档案,则设定该病毒本体在重启计算机后删除。创建一个名为“MYLASTONE”的互斥量,保证系统只有一个实例运行。
2、查找是否有ekrn.exe进程,如果有则执行如下指令
cmd /c sc delete ekrn
cmd /c taskkill /im ekrn.exe /f
cmd /c taskkill /im egui.exe /f
查找是否有nod32krn.exe进程,如果有则执行如下指令
cmd /c sc delete nod32krn
cmd /c taskkill /im nod32krn.exe /f
cmd /c taskkill /im nod32gui.exe /f
3、创建多个执行绪执行不同操作
执行绪1在临时资料夹下释放一个dll?.tmp的档案,并获取其导出表中的Rkdll函式地址,并载入该Dll档案
执行绪2检查%windir%\system32\dllcache\linkinfo.dll是否存在,如果不存在则将%windir%\system32\linkinfo.dll複製到%windir%\system32\dllcache\linkinfo.dll
执行绪3每隔30秒查找是否有360tray.exe这个进程,如果有则释放\\Fonts\\safeme.sys和\\Fonts\\safeg.sys这两个驱动。查找360tray.exe,360Safe.exe,safeboxTray.exe,360safebox.exe的进程,得到它们的pid,并传给\\Fonts\\safeme.sys这个驱动,该驱动调用MmUnmapViewOfSection函式释放掉这些进程的记忆体,使他们退出。载入\\Fonts\\safeg.sys这个驱动,并直接向该驱动发IRP删除C:\Program Files\360safe\safemon\360Tray.exe,D:\Program Files\360safe\safemon\360tray.exe,E:\Program Files\360safe\safemon\360tray.exe。
执行绪4对avp.exe实行IFEO映像劫持,指向ntsd.exe;释放驱动\\fonts\\dansl.sys,该驱动为机器狗类驱动,直接在系统底层替换掉%windir%\system32\linkinfo.dll
执行绪5每隔30秒,向所有分区的根目录下释放autorun.inf和RGER.PIF。
档案功能
创建一个执行绪,结束如下进程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….并对上述大多数进程进行映像劫持。
停止如下服务
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Kingsoft Internet Security Common Servi
Symantec AntiVirus
norton AntiVirus server
DefWatch
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
McAfee Framework 服务
Norton AntiVirus Server
针对IceSword查找类名为AfxControlBar42s的视窗,先传送WM_CLOSE再传送VK_RETURN讯息模拟按回车键关闭冰刃。
操作SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall使得显示隐藏档案不可用
删除SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的360Safetray,360Safebox,360Safebox,vptray,ccApp相关键值。
删除SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal和
SYSTEM\CurrentControlSet\Control\SafeBoot\Network破坏安全模式
查找avp.exe,找到后,遍历并卸载kavbase.kdl和webav.kdl这两个模组。
下载病毒和其他木马程式。