“Trojan.Win32.AntiAV.n”的意思、由来-中文百科全书

概述

Trojan.Win32.AntiAV.n（“反病毒终结者下载器N”）

病毒类型：木马释放器，通过网络传播

危险级别：★★★

影响系统：Win 9X/ME/NT/2000/XP/2003。

该病毒还会修改系统的共享目录，将用户的信息泄露出去；运行后会将自身加载到Explorer进程中，并对注册表进行修改，防止病毒自身被删除。在用户的IE收藏夹菜单中建立一个链接，通过欺骗用户点击来增加指定网站的点击率，当已经感染病毒的电脑连接到网络时，病毒会从黑客指定的网站下载新的病毒，还会自动点击指定的链接。

详细说明

1、病毒运行后，会在system32目录下释放一个OCX文件，文件名随机。

病毒生成文件名的方法：用GetLocalTime得到当前系统时间，以月份跟得到的秒数为文件名，扩展名为.OCX。

我们在分析的时候得到的是12月7秒，文件名为：127.OCX。

2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exe %system32%127.ocx加入到启动项。

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run

Load = rundll32.exe %sysetm32%127.ocx

3、等1.5秒后把自己删除。

病毒自删除方法比较特别，先用DeleteFileA去检查病毒本身是否已被删除，然后用MoetFile把自己移动到回收站，在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。

4、OCX文件加载成功后，病毒利用全局钩子，在每一个进程中插入一个127.ocx。

A:HOOK个每个进程中的API来隐藏自己

HOOK的API有

RegOpenKeyExA

CreateFileA

CreateFileW

RegEnumValueA

RegEnumValueW

从HOOK的API可以看出，用户是无法在正常方式下，查看到病毒的文件，和在注册表中加入的内容。

B:对AVP杀软的情况，病毒使用的手法：

当检查到系统中是否AVP的进程时，把当前系统的时间修改为:现在的时间减去10年

如：现在是2007 被病毒改后，就会是1997年，这样会使AVP失效。

C:对于一些反流氓软件的情况，病毒使用的手法：

当有程序要运行时，病毒会检查当前运行的文件名含有以下列表中的文件时，会把当前运行文件的进程结束，并且把文件移动到Windows的TEMP目录下改名__.%s.tmp。

病毒会查找下面文件，当查找到文件后，会把文件移动到TEMP目录下改名为__%s.tmp.

病毒查找的文件

mmskskin.dll

KKClean.dll

VirUnk.def

ntiActi.dll

Rsaupd.exe

Iereset.dll

KASearch.DLL

KAVBootC.sys

Ras. exe

iehelp.exe

trojandetector.exe

KAConfig.DLL

KAVPassp.DLL

hsfw.dll

ollydbg.ini

Libclsid.dat

KNetWch.SYS

CleanHis.dll

WoptiClean.sys

kakalib.def

libdll.dat

kkinst.ini

wopticlean

360safe

D:对于其它杀软件的处理

遍历文件时，同时获得文件的版本信息，当发现下列住处时，会把文件删除

Kingsoft Antivirus

Kingsoft Antispyware

TrojanDetector

Micropoint

Kingsoft

Duba

E:修改文件的访问根权。

病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式，把磁盘上文件设置为共享，让所有人可以使用文件。

安全建议

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.20.30版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀

词条	Trojan.Win32.AntiAV.n
释义	Trojan.Win32.AntiAV.n（“反病毒终结者下载器N”）是一个木马病毒。该病毒运行后会在系统目录下建立一个以当前系统时间为名称的OCX文件，修改注册表实现随系统启动，并且将自身注入到系统正常进程中，修改系统时间，并试图关闭多种安全防护软件。主要影响的系统为Win 9X/ME/NT/2000/XP/2003。概述详细说明病毒查找的文件安全建议概述 Trojan.Win32.AntiAV.n（“反病毒终结者下载器N”）病毒类型：木马释放器，通过网络传播危险级别：★★★ 影响系统：Win 9X/ME/NT/2000/XP/2003。该病毒还会修改系统的共享目录，将用户的信息泄露出去；运行后会将自身加载到Explorer进程中，并对注册表进行修改，防止病毒自身被删除。在用户的IE收藏夹菜单中建立一个链接，通过欺骗用户点击来增加指定网站的点击率，当已经感染病毒的电脑连接到网络时，病毒会从黑客指定的网站下载新的病毒，还会自动点击指定的链接。详细说明 1、病毒运行后，会在system32目录下释放一个OCX文件，文件名随机。病毒生成文件名的方法：用GetLocalTime得到当前系统时间，以月份跟得到的秒数为文件名，扩展名为.OCX。我们在分析的时候得到的是12月7秒，文件名为：127.OCX。 2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exe %system32%127.ocx加入到启动项。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run Load = rundll32.exe %sysetm32%127.ocx 3、等1.5秒后把自己删除。病毒自删除方法比较特别，先用DeleteFileA去检查病毒本身是否已被删除，然后用MoetFile把自己移动到回收站，在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。 4、OCX文件加载成功后，病毒利用全局钩子，在每一个进程中插入一个127.ocx。 A:HOOK个每个进程中的API来隐藏自己 HOOK的API有 RegOpenKeyExA CreateFileA CreateFileW RegEnumValueA RegEnumValueW 从HOOK的API可以看出，用户是无法在正常方式下，查看到病毒的文件，和在注册表中加入的内容。 B:对AVP杀软的情况，病毒使用的手法：当检查到系统中是否AVP的进程时，把当前系统的时间修改为:现在的时间减去10年如：现在是2007 被病毒改后，就会是1997年，这样会使AVP失效。 C:对于一些反流氓软件的情况，病毒使用的手法：当有程序要运行时，病毒会检查当前运行的文件名含有以下列表中的文件时，会把当前运行文件的进程结束，并且把文件移动到Windows的TEMP目录下改名__.%s.tmp。病毒会查找下面文件，当查找到文件后，会把文件移动到TEMP目录下改名为__%s.tmp. 病毒查找的文件 mmskskin.dll KKClean.dll VirUnk.def ntiActi.dll Rsaupd.exe Iereset.dll KASearch.DLL KAVBootC.sys Ras. exe iehelp.exe trojandetector.exe KAConfig.DLL KAVPassp.DLL hsfw.dll ollydbg.ini Libclsid.dat KNetWch.SYS CleanHis.dll WoptiClean.sys kakalib.def libdll.dat kkinst.ini wopticlean 360safe D:对于其它杀软件的处理遍历文件时，同时获得文件的版本信息，当发现下列住处时，会把文件删除 Kingsoft Antivirus Kingsoft Antispyware TrojanDetector Micropoint Kingsoft Duba E:修改文件的访问根权。病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式，把磁盘上文件设置为共享，让所有人可以使用文件。安全建议 1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。 3 不浏览不良网站，不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。 6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。清除办法：瑞星杀毒软件清除办法：安装瑞星杀毒软件，升级到20.20.30版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀
随便看	南坑古窑址南坑水电站南坑下村南坑窑址南空花园南孔上社村南孔下社村南孔庄村南口堡南口村社区南口街道办事处南口军纪案南口路南口前火车站南口镇小学南苦苣菜南苦荬菜南宽坪中学南宽扎省南匡家茔村南筐村南昆北弋东柳西梆南昆村南昆杜鹃南昆山大观园温泉