IE自动关闭 杀毒软件打不开.doc

1 最近发现很多人出现了打不开 shadu 软件反病毒工具甚至带有病毒字样的窗口今天就接到了这样的一个样本先前这是一个可以说结合了几乎所有病毒的特征的病毒除了感染文件之外可以说是比熊猫有过之而无不及! 病毒特征: 1. 破坏安全模式 2. 结束常见杀毒软件以及反病毒工具进程 3. 监控窗口 4. 关闭自动更新以及 Windows 安全中心 5. 屏蔽显示隐藏文件 6. 下载木马 映像劫持 文件引导破坏 9. 各盘符均有引导启动关联文件,即便你重装系统盘也照样发作分析报告 File: Size: 36435 bytes MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB SHA1: E760703C8776C652B424FA62AF945434FB786BE5 CRC32: 27CA1195 加壳方式: UPX 病毒运行后在 C:\Program mon Files\Microsoft Shared\MSInfo\ 下面释放一个同样由 8 个数字和字母组成的组合的文件名的 dll 和一个同名的 dat 文件我这里是 C:\Program mon Files\Microsoft Shared\MSInfo\ 这个随机的数字应该与机器码有关该 dll 插入 Explorer 进程 Timplatform 以及 ctfmon 进程监视并关闭以下进程以及窗口 AntiVirus TrojanFirewall Kaspersky JiangMin KV200 kxp Rising RAV RFW KAV200 KAV6 McAfe work Associates TrustPort NortonSymantec SYMANT~1 Norton SystemWorks ESET Grisoft F-Pro Alwil Software ALWILS~1 F-Secure ArcaBit Softwin ClamWin DrWe Fortineanda Software Vba3 Trend Micro QUICKH~1 TRENDM~1 Quick Heal eSafewido Prevx1 ers avg Ikarus SophoSunbeltPC-cilli ZoneAlar Agnitum WinAntiVirus AhnLab Normasurfsecret Bullguard\Blac 360safe Micropoint Iparmor ftc mmjk2007 Antiy Labs LinDirMicro Lab Filseclab ast System Safety Monitor 3 ProcessGuard FengYun Lavasoft NOD3 mmsk The Cleaner Defendio kis6Beheadsreng IceSword HijackThis killbox procexp Magicset EQSysSecureProSecurity Yahoo! Google baidu P4P Sogou PXP ardsys 超级兔子木马 KSysFiltsys KSysCallsys AVK K7 Zondex blcorp Tiny Firewall Pro Jetico HAURI CA kmx PCClear_Plus Novatix Ashampoo WinPatrol Spy Cleaner Gold CounterSpy EagleEyeOS Webroot BufferZ avp enter 4 Rav RavMonD RavStub RavTask rfwcfg rfwsrv RsAgent Rsaupd runiep SmartUp FileDsty RegClean 360tray 360Safe 360rpt kabaload safelive Ras KASMain KASTask KAV32 KAVDX KAVStart KISLnchr KMailMon KMFilter KPFW32 KPFW32X KPFWSvc KWatch9x KWatch KWatchX TrojanDetector KVSrvXP KvDetect KRegEx kvol kvolself kvupload kvwsc UIHost IceSword iparmo 5 mmsk adam MagicSet PFWLiveUpdate SREng WoptiClean scan32 hcfg32 mcconsol HijackThis mmqczj Trojanwa