本周截获一款屏蔽主流杀毒软件以及其升级程序的病毒。相比之前类似病毒类样本而言,该病毒以匹配文件名的方式删除杀毒软件的升级程序,以便阻止用户更新病毒库进行防护。包括360安全卫士在内的安全工具也在病毒的打击范围内。
该病毒创建主要文件:
%Systemroot%\system32\Kernel32.exe
%Systemroot%\system32\VVinHe1p.exe
%Systemroot%\system32\VVinHe1p.dll
%Systemroot%\system32\VVinHe1p.ocx
%Systemroot%\system32\VVinHe1p.zip |
注意:病毒文件名前面为两个大写字母V ,以及后面穿插的数字1。
开机加载服务以及随机驱动。插入svchost.exe进程,伪装奇虎公司产品。
在临时目录下写入manifest.txt和sysdata.xml文件,读取远程主机的配置文件下载病毒。
http://www.ushealth****.com/kernel/cmd.txt |
以360安全卫士之名劫持杀软域名,屏蔽用户向各杀软厂商求助以及修复程序的可能。
127.0.0.1 localhost
***以下内容为 360安全卫士 为免疫 360安全卫士 所添加*** |
具体Hosts见附件:Hosts文件.txt (6.56 KB)
解决方案:
下载附件中的毒霸文件删除工具,导入病毒文件列表或编辑路径去执行删除操作。如图所示:
下载:DelayDelFile.rar (387.5 KB)
文件列表如下:
%Systemroot%\system32\Kernel32.exe
%Systemroot%\system32\VVinHe1p.exe
%Systemroot%\system32\VVinHe1p.dll
%Systemroot%\system32\VVinHe1p.ocx
%Systemroot%\system32\VVinHe1p.zip |
详细使用方法参考:http://bbs.duba.net/thread-21914617-1-1.html
小结:
病毒与杀软对抗的战火似乎并未随着奥运会的到来而消退,提醒广大网民请警惕你的杀软升级程序是否工作正常。
| 
所在位置:论坛首页 -> ┈┋业界相关┋┈ -> 网络安全资讯 -> 奥运将至 病毒冒充360封锁杀毒软件升级程序
