七月终结者病毒 英文名(Worm.Win32.Autorun.smn),通过挂马网站、随身碟传播,对360、nod32等多种安全软体有针对性的破坏或劫持,下载大量木马病毒,破坏系统的一些功能,具有“机器狗”病毒功能,能够破坏系统还原。
基本介绍
- 中文名:七月终结者病毒
- 外文名:Worm.Win32.Autorun.smn
- 作用:破坏系统的一些功能
- 传播途径:挂马网站、随身碟
简介
1、病毒运行后首先会将自身属性设定为“系统,隐藏”,并判断当前同目录下是否存在autorun.inf档案,如果存在则打开当前病毒所在的盘符。如果不存在autorun.inf档案,则设定该病毒本体在重启计算机后删除。创建一个名为“MYLASTONE”的互斥量,保证系统只有一个实例运行。
2、查找是否有ekrn.exe进程,如果有则执行如下指令
cmd /c sc delete ekrn
cmd /c taskkill /im ekrn.exe /f
cmd /c taskkill /im egui.exe /f
查找是否有nod32krn.exe进程,如果有则执行如下指令
cmd /c sc delete nod32krn
cmd /c taskkill /im nod32krn.exe /f
cmd /c taskkill /im nod32gui.exe /f
3、创建多个执行绪执行不同操作
执行绪1:在临时资料夹下释放一个dll?.tmp的档案,并获取其导出表中的Rkdll函式地址,并载入该Dll档案
执行绪2:检查%windir%\system32\dllcache\linkinfo.dll是否存在,如果不存在则将%windir%\system32\linkinfo.dll複製到%windir%\system32\dllcache\linkinfo.dll
执行绪3:每隔30秒查找是否有360tray.exe这个进程,如果有则释放\\Fonts\\safeme.sys和\\Fonts\\safeg.sys这两个驱动。查找360tray.exe,360Safe.exe,safeboxTray.exe,360safebox.exe的进程,得到它们的pid,并传给\\Fonts\\safeme.sys这个驱动,该驱动调用MmUnmapViewOfSection函式释放掉这些进程的记忆体,使他们退出。载入\\Fonts\\safeg.sys这个驱动,并直接向该驱动发IRP删除C:\Program Files\360safe\safemon\360Tray.exe,D:\Program Files\360safe\safemon\360tray.exe,E:\Program Files\360safe\safemon\360tray.exe。
执行绪4:对avp.exe实行IFEO映像劫持,指向ntsd.exe;释放驱动\\fonts\\dansl.sys,该驱动为机器狗类驱动,直接在系统底层替换掉%windir%\system32\linkinfo.dll
执行绪5:每隔30秒,向所有分区的根目录下释放autorun.inf和RGER.PIF。
档案功能
创建一个执行绪,结束如下进程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….并对上述大多数进程进行映像劫持。
停止如下服务:
sharedaccess
McShield
KWhatchsvc
KPfwSvc
Kingsoft Internet Security Common Servi
Symantec AntiVirus
norton AntiVirus server
DefWatch
Symantec AntiVirus Drivers Services
Symantec AntiVirus Definition Watcher
McAfee Framework 服务
Norton AntiVirus Server
针对IceSword查找类名为AfxControlBar42s的视窗,先传送WM_CLOSE再传送VK_RETURN讯息模拟按回车键关闭冰刃。
操作SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall使得显示隐藏档案不可用
删除SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的360Safetray,360Safebox,360Safebox,vptray,ccApp相关键值。
删除SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal和
SYSTEM\CurrentControlSet\Control\SafeBoot\Network破坏安全模式
查找avp.exe,找到后,遍历并卸载kavbase.kdl和webav.kdl这两个模组。
下载病毒和其他木马程式。
