大戰AV終結者（一）……AV簡介

AV簡介：（摘自百度知道）

“AV終結者”即＂帕蟲＂是一系列反擊殺毒軟體，破壞系統安全模式、植入木馬下載器的病毒，它指的是一批具備如下破壞性的病毒、木馬和蠕蟲。“AV終結者”名稱中的“AV”即為英文“反病毒”(Anti-Virus)的縮寫。它能破壞大量的殺毒軟體和個人防火牆的正常監控和保護功能,導致使用者電腦的安全效能下降,容易受到病毒的侵襲。同時它會下載並運行其他盜號病毒和惡意程式,嚴重威脅到使用者的網路個人財產。此外,它還會造成電腦無法進入安全模式,並可通過可移動磁碟傳播。目前該病毒已經衍生多個新變種,有可能在互連網上大範圍傳播。“AV終結者”設計中最惡毒的一點是，使用者即使重裝作業系統也無法解決問題：格式化系統硬碟重裝後很容易被再次感染。使用者格式化後，只要雙擊其他盤符，病毒將再次運行。“AV終結者”會使使用者電腦的安全防禦體系被徹底摧毀，安全性幾乎為零。它還自動連接到某網站，下載數百種木馬病毒及各類盜號木馬、廣告木馬、風險程式，在使用者電腦毫無抵抗力的情況下，魚貫而來，使用者的網銀、網遊、QQ帳號密碼以及機密檔案都處於極度危險之中。

AV終結者

病毒名稱：AV終結者

傳播方式：記憶體，windows漏洞

破壞方式：進程插入

產生病毒檔案名稱：隨機8位字元

自我保護：應用程式綁架

病毒目的：從網路上下載大量木馬

危害等級：★★★★★

近日網路上出現了一種破壞力及強的病毒“AV終結者”，不到一個月時間，變種就已達到數百個之多，波及人群超過十幾萬人，這個病毒非常變態，一旦感染就很難清楚。

“AV終結者”是由隨機8位元字和字母組合而成的病毒,是快閃記憶體寄生病毒，它是通過快閃記憶體等儲存介質或者注入伺服器來實現的。

一、什麼是“AV終結者”

“AV終結者”病毒運行後會在系統中產生如下幾個檔案：C:program filescommon filesmicrosoft sharedmsinfo隨機產生病毒名.dat、C:program filescommon filesmicrosoft sharedmsinfo隨機產生病毒名.dll、C:windows隨機產生病毒名.chm

“AV終結者”的病毒名是由大寫字母+數字隨機組合而成，其長度為8位，可以說產生同名病毒的機率是很低的。因此即使我們知道了這是病毒產生的檔案，也別指望通過病毒名在網路上找到病毒的清楚方法。

“AV終結者”病毒運行後會在本地磁碟和移動磁碟中複製病毒檔案和anuorun.inf檔案，當使用者雙擊盤符時就會啟用病毒，即使是重裝系統也是無法將病毒徹底清楚的。這是目前很多病毒熱衷的傳播方法，不少使用者也懂得刪除病毒產生的anuorun.inf檔案，但是當我們進入“檔案夾選項裡”，想顯示隱藏檔案時，可以發現這裡已經被病毒給禁用了。

針對殺毒軟體的攻擊，是“AV終結者”的特點。病毒會終止大部分的殺毒軟體和安全工具的進程。國內絕大多數的殺毒軟體和安全工具都被列入了黑名單。當殺毒軟體暫時失去作用時，病毒就會乘勝追擊，通過一種“映象劫持”技術將殺毒軟體徹底打入死牢。

“映象劫持”會在註冊表的“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Exeution Options”位置建立一個以殺毒軟體和安全工具程式名稱命名的項。建立完畢後，病毒還會在裡面建立一個Debugger鍵，索引值為“c: progra~1common~1micros~1msinfocc73b2.dat”。這樣當我們雙機運行殺毒軟體的主程式時，啟動並執行其實是病毒程式。

為了避免在“工作管理員”中露出破綻，病毒會將自己的進程注入到系統的資源管理員進程explorer.exe中，這樣我就無法通過“工作管理員”發現病毒的進程了。病毒進程的主要作用是監視系統中的使用者操作，例如你想手動清楚病毒，修改註冊表，病毒沒隔一段時間就會把註冊表改回去，讓你百費勁。另一個作用是監視IE視窗，發現使用者搜尋病毒資料時，立即關閉網頁。

此外，病毒還會破壞windows防火牆和安全模式，封堵使用者的後路。最重要的是，病毒會從網路上下載大量盜號木馬，盜取使用者的遊戲帳戶資訊，這也是它的真正目的。