Win32.Troj.Poseidon

Win32.Troj.Poseidon

“AV終結者”(Win32.Troj.Poseidon)是一個能破壞大量電腦安全軟體的正常運作的惡意程式。 該病毒是一個有相當破壞力和危害力的病毒,它能破壞大量的防毒軟體和個人防火牆的正常監控和保護功能,導致用戶電腦的安全性能下降,容易受到病毒的侵襲。同時它會下載並運行其他盜號病毒和惡意程式,嚴重威脅到用戶的網路個人財產安全。此外,它還會造成電腦無法進入安全模式,並可通過可移動磁碟傳播。

簡介

病毒別名: 處理時間:2007-06-14 威脅級別:★

中文名稱:AV終結者 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為

該病毒利用了IFEO重定向劫持技術,會使大量的防毒軟體和安全相關工具無法運行;會破壞安全模式,使中毒用戶無法在安全模式下查殺病毒;會下載大量病毒到用戶計算機來盜取用戶有價值的信息和某些帳號;能通過可移動存儲介質傳播。

1.生成檔案

%programfiles%\Common Files\Microsoft Shared\MSInfo\{隨機8位字母+數字名字}.dat

C:\Program Files\Common Files\Microsoft Shared\MSInfo\{隨機8位字母+數字名字}.dll

%windir%\{隨機8位字母+數字名字}.hlp

%windir%\Help\{隨機8位字母+數字名字}.chm

也有可能生成如下檔案

%sys32dir%\{隨機字母}.exe

替換%sys32dir%\verclsid.exe檔案

2.使病毒隨系統啟動而啟動

生成以下註冊表項來達到使病毒隨系統啟動而啟動的目的

HKEY_CLASSES_ROOT\CLSID\"隨機CLSID"\\InprocServer32 "病毒檔案全路徑"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機CLSID" "病毒檔案全路徑"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的隨機CLSID" ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "隨機字元串" "病毒檔案全路徑"

3.進行檔案映像劫持(IFEO劫持)

生成以下註冊表項來進行檔案映像劫持(IFEO劫持),使用戶運行檔案名稱映像被劫持的檔案時先運行病毒檔案,從而阻止相關安全軟體運行。

4.導致無法顯示隱藏檔案

修改以下註冊表,導致無法顯示隱藏檔案

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000

5.禁止Windows的自更新和系統自帶的防火牆

修改以下服務的啟動類型來禁止Windows的自更新和系統自帶的防火牆。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

6.使用戶無法進入安全模式

刪除以下註冊表項,使用戶無法進入安全模式

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

7.連線網路下載病毒

8.關閉防毒軟體實時監控視窗

如瑞星、卡巴,通過自動點擊"跳過"按鈕來逃過查殺

9.嘗試關閉包含以下關鍵字視窗

Anti

AgentSvr

CCenter

Rsaupd

SmartUp

FileDsty

RegClean

360tray

360safe

kabaload

safelive

KASTask

KPFW32

KPFW32X

KvXP_1

KVMonXP_1

KvReport

KvXP

KVMonXP

nter

TrojDie

Trojan

KvNative

Virus

Filewall

Kaspersky

JiangMin

RavMonD

RavStub

RavTask

adam

cSet

PFWliveUpdate

mmqczj

Trojanwall

Ras.exe

runiep.exe

avp.exe

PFW.exe

rising

ikaka

.duba

kingsoft

木馬

社區

aswBoot

10.禁止用戶訪問包含特殊字元串的網頁

禁止用戶通過瀏覽器訪問包含特殊字元串(如:病毒)的網頁。

11.逃過防火牆的內牆的審核

注入Explorer.exe和TIMPlatform.exe反彈連線,以逃過防火牆的內牆的審核。

12.隱藏病毒進程

但是可以通過結束桌面進程顯示出來

13.使病毒可以隨可移動存儲介質傳播

在硬碟分區生成檔案:autorun.inf 和 隨機字母+數字組成的病毒複製體,並修改“NoDriveTypeAutoRun”使病毒可以隨可移動存儲介質傳播。

相關搜尋

熱門詞條

聯絡我們