“七月终结者病毒”的意思、由来-中文百科全书

1、病毒运行后首先会将自身属性设置为“系统，隐藏”，并判断当前同目录下是否存在autorun.inf文件，如果存在则打开当前病毒所在的盘符。如果不存在autorun.inf文件，则设置该病毒本体在重启计算机后删除。创建一个名为“MYLASTONE”的互斥量，保证系统只有一个实例运行。

2、查找是否有ekrn.exe进程，如果有则执行如下指令

cmd /c sc delete ekrn

cmd /c taskkill /im ekrn.exe /f

cmd /c taskkill /im egui.exe /f

查找是否有nod32krn.exe进程，如果有则执行如下指令

cmd /c sc delete nod32krn

cmd /c taskkill /im nod32krn.exe /f

cmd /c taskkill /im nod32gui.exe /f

3、创建多个线程执行不同操作

线程1：在临时文件夹下释放一个dll?.tmp的文件，并获取其导出表中的Rkdll函数地址，并加载该Dll文件

线程2：检查%windir%\\system32\\dllcache\\linkinfo.dll是否存在，如果不存在则将%windir%\\system32\\linkinfo.dll复制到%windir%\\system32\\dllcache\\linkinfo.dll

线程3：每隔30秒查找是否有360tray.exe这个进程，如果有则释放\\\\Fonts\\\\safeme.sys和\\\\Fonts\\\\safeg.sys这两个驱动。查找360tray.exe，360Safe.exe，safeboxTray.exe，360safebox.exe的进程，得到它们的pid，并传给\\\\Fonts\\\\safeme.sys这个驱动，该驱动调用MmUnmapViewOfSection函数释放掉这些进程的内存，使他们退出。加载\\\\Fonts\\\\safeg.sys这个驱动，并直接向该驱动发IRP删除C:\\Program Files\\360safe\\safemon\\360Tray.exe，D:\\Program Files\\360safe\\safemon\\360tray.exe，E:\\Program Files\\360safe\\safemon\\360tray.exe。

线程4：对avp.exe实行IFEO映像劫持，指向ntsd.exe;释放驱动\\\\fonts\\\\dansl.sys，该驱动为机器狗类驱动，直接在系统底层替换掉%windir%\\system32\\linkinfo.dll

线程5：每隔30秒，向所有分区的根目录下释放autorun.inf和RGER.PIF。

Dll?.tmp文件功能：

创建一个线程，结束如下进程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….并对上述大多数进程进行映像劫持。

停止如下服务：

sharedaccess

McShield

KWhatchsvc

KPfwSvc

Kingsoft Internet Security Common Servi

Symantec AntiVirus

norton AntiVirus server

DefWatch

Symantec AntiVirus Drivers Services

Symantec AntiVirus Definition Watcher

McAfee Framework 服务

Norton AntiVirus Server

针对IceSword查找类名为AfxControlBar42s的窗口，先发送WM_CLOSE再发送VK_RETURN消息模拟按回车键关闭冰刃。

操作SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\explorer\\advanced\\folder\\hidden\\showall使得显示隐藏文件不可用

删除SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下面的360Safetray，360Safebox，360Safebox，vptray，ccApp相关键值。

删除SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal和

SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork破坏安全模式

查找avp.exe，找到后，遍历并卸载kavbase.kdl和webav.kdl这两个模块。

下载病毒和其他木马程序。

词条	七月终结者病毒
释义	七月终结者病毒英文名（Worm.Win32.Autorun.smn），通过挂马网站、U盘传播，对360、nod32等多种安全软件有针对性的破坏或劫持，下载大量木马病毒，破坏系统的一些功能，具有“机器狗”病毒功能，能够破坏系统还原。 1、病毒运行后首先会将自身属性设置为“系统，隐藏”，并判断当前同目录下是否存在autorun.inf文件，如果存在则打开当前病毒所在的盘符。如果不存在autorun.inf文件，则设置该病毒本体在重启计算机后删除。创建一个名为“MYLASTONE”的互斥量，保证系统只有一个实例运行。 2、查找是否有ekrn.exe进程，如果有则执行如下指令 cmd /c sc delete ekrn cmd /c taskkill /im ekrn.exe /f cmd /c taskkill /im egui.exe /f 查找是否有nod32krn.exe进程，如果有则执行如下指令 cmd /c sc delete nod32krn cmd /c taskkill /im nod32krn.exe /f cmd /c taskkill /im nod32gui.exe /f 3、创建多个线程执行不同操作线程1：在临时文件夹下释放一个dll?.tmp的文件，并获取其导出表中的Rkdll函数地址，并加载该Dll文件线程2：检查%windir%\\system32\\dllcache\\linkinfo.dll是否存在，如果不存在则将%windir%\\system32\\linkinfo.dll复制到%windir%\\system32\\dllcache\\linkinfo.dll 线程3：每隔30秒查找是否有360tray.exe这个进程，如果有则释放\\\\Fonts\\\\safeme.sys和\\\\Fonts\\\\safeg.sys这两个驱动。查找360tray.exe，360Safe.exe，safeboxTray.exe，360safebox.exe的进程，得到它们的pid，并传给\\\\Fonts\\\\safeme.sys这个驱动，该驱动调用MmUnmapViewOfSection函数释放掉这些进程的内存，使他们退出。加载\\\\Fonts\\\\safeg.sys这个驱动，并直接向该驱动发IRP删除C:\\Program Files\\360safe\\safemon\\360Tray.exe，D:\\Program Files\\360safe\\safemon\\360tray.exe，E:\\Program Files\\360safe\\safemon\\360tray.exe。线程4：对avp.exe实行IFEO映像劫持，指向ntsd.exe;释放驱动\\\\fonts\\\\dansl.sys，该驱动为机器狗类驱动，直接在系统底层替换掉%windir%\\system32\\linkinfo.dll 线程5：每隔30秒，向所有分区的根目录下释放autorun.inf和RGER.PIF。 Dll?.tmp文件功能：创建一个线程，结束如下进程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….并对上述大多数进程进行映像劫持。停止如下服务： sharedaccess McShield KWhatchsvc KPfwSvc Kingsoft Internet Security Common Servi Symantec AntiVirus norton AntiVirus server DefWatch Symantec AntiVirus Drivers Services Symantec AntiVirus Definition Watcher McAfee Framework 服务 Norton AntiVirus Server 针对IceSword查找类名为AfxControlBar42s的窗口，先发送WM_CLOSE再发送VK_RETURN消息模拟按回车键关闭冰刃。操作SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\explorer\\advanced\\folder\\hidden\\showall使得显示隐藏文件不可用删除SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下面的360Safetray，360Safebox，360Safebox，vptray，ccApp相关键值。删除SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal和 SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork破坏安全模式查找avp.exe，找到后，遍历并卸载kavbase.kdl和webav.kdl这两个模块。下载病毒和其他木马程序。
随便看	奥尔内斯木构教堂奥尔内斯木制教堂奥尔尼友谊中学奥尔诺奥尔切克奥尔萨奥尔赛博物馆奥尔森奥尔森姐妹奥尔森困境奥尔沙奥尔什丁奥尔什丁瓦尔米亚玛祖里大学奥尔仕奥尔氏卫浴奥尔斯克奥尔斯特人奥尔松奥尔索普奥尔塔奥尔塔湖奥尔特奥尔特河奥尔特加奥尔特拉