首页 > 单独文章 > 正文

假冒360安全卫士的变种鸽子下载器192512

时间:2008-08-28 09:05:45 作者:officeba 【认证】

病毒名称:Win32.TrojDownloader.Agent.192512

中文名称:变种鸽子下载器192512

病毒类型:木马下载器

病毒目的:下载其他病毒

系统中隐藏了360模块

几天前我电脑中的杀毒软件无法升级了,想登录到杀毒软件官方论坛咨询一下解决方案,结果发现论坛无法登录。不得已,我请朋友帮我检测,他在系统的svchost.exe进程中发现了“360安全卫士文件粉碎”模块,但是我并没有安装360安全卫士,请问我的电脑是不是中毒了?

假冒360安全卫士

最近一段时间奇虎360炒的很热,于是我——变种鸽子下载器192512,也打起了360的主意,伪装成360卫士搞鬼。

进入系统后,我先释放病毒文件到系统中的system32目录下,包括Kernel32.exe、VVinHe1p.exe、VVinHe1p.dll、VVinHe1p.ocx和VVinHe1p.zip五个文件。其中VVinHe1p.dll和VVinHe1p.zip是病毒的主文件,用于破坏杀毒软件以及下载病毒。另外,我还会在临时目录下加入manifest.txt和sysdata.xml两个文件,里面保存有多种病毒的下载地址信息。

接着修改注册表并添加一个启动服务,这样就能在开机后加载病毒文件VVinHe1p.exe。然后VVinHe1p.exe再将病毒文件VVinHe1p.dll和VVinHe1p.zip插入svchost.exe进程,并且伪装成奇虎公司的360安全卫士。这样用户一看以为是360安全卫士的模块,根本就不会联想到病毒文件上去,这样我就可以一直隐藏下去了。

最后我通过匹配文件名的方式删除杀毒软件的升级程序,以便阻止用户更新病毒库来进行自我防护。然后以360安全卫士之名,通过修改HOSTS文件的方式劫持杀毒软件以及安全工具的域名,从而屏蔽用户向各杀毒软件厂商求助。

删除HOSTS中恶意信息

假的真不了!仔细检测就可以发现伪装成安全工具的病毒。下面我就教大家如何清除该病毒。

第一步:打开记事本输入病毒文件的路径并保存,病毒文件路径分别是:

%Systemroot%\system32\Kernel32.exe、
%Systemroot%\system32\VVinHe1p.exe、
%Systemroot%\system32\VVinHe1p.dll、
%Systemroot%\system32\VVinHe1p.ocx、
%Systemroot%\system32\VVinHe1p.zip。

接着运行金山毒霸文件删除工具,点击“从文件导入”按钮选择保存有病毒路径的记事本,最后点击“删除”按钮即可彻底删除病毒文件。清除完成以后,按照程序的提示重新启动系统。

第二步:运行系统修复SREng工具,点击“系统修复”中的“HOSTS文件”标签,将标注为“以下内容为360安全卫士 为免疫360安全卫士 所添加”中的所有内容全部选中,然后点击“删除”按钮清除恶意信息。

第三步:最后重新安装杀毒软件并升级病毒库到最新版本,再进行全面扫描和查杀,将病毒残留物彻底清除干净。


相关文章

同类最新