病毒冒充360封锁杀毒软件升级程序

2008-07-29 11:26:17　来源:赛迪网　作者:PAPA 点击:

本周截获一款屏蔽主流杀毒软件以及其升级程序的病毒。相比之前类似病毒类样本而言，该病毒以匹配文件名的方式删除杀毒软件的升级程序，以便阻止用户更新病毒库进行防护。

　　本周截获一款屏蔽主流杀毒软件以及其升级程序的病毒。相比之前类似病毒类样本而言，该病毒以匹配文件名的方式删除杀毒软件的升级程序，以便阻止用户更新病毒库进行防护。包括360安全卫士在内的安全工具也在病毒的打击范围内。

　　该病毒创建主要文件：

　　%Systemroot%\system32\Kernel32.exe

　　%Systemroot%\system32\VVinHe1p.exe

　　%Systemroot%\system32\VVinHe1p.dll

　　%Systemroot%\system32\VVinHe1p.ocx

　　%Systemroot%\system32\VVinHe1p.zip

　　注意：病毒文件名前面为两个大写字母V ，以及后面穿插的数字1。

　　开机加载服务以及随机驱动。插入svchost.exe进程，伪装奇虎公司产品。

　　在临时目录下写入manifest.txt和sysdata.xml文件，读取远程主机的配置文件下载病毒。

　　http://www.ushealth****.com/kernel/cmd.txt

　　以360安全卫士之名劫持杀软域名，屏蔽用户向各杀软厂商求助以及修复程序的可能。

　　127.0.0.1 localhost

　　***以下内容为 360安全卫士为免疫 360安全卫士所添加***

　　具体Hosts见附件：Hosts文件.txt (6.56 KB)

　　解决方案：

　　下载附件中的毒霸文件删除工具，导入病毒文件列表或编辑路径去执行删除操作。如图所示：

　　下载:DelayDelFile.rar (387.5 KB)

　　文件列表如下：

　　%Systemroot%\system32\Kernel32.exe

　　%Systemroot%\system32\VVinHe1p.exe

　　%Systemroot%\system32\VVinHe1p.dll

　　%Systemroot%\system32\VVinHe1p.ocx

　　%Systemroot%\system32\VVinHe1p.zip

　　详细使用方法参考：http://bbs.duba.net/thread-21914617-1-1.html

　　小结：

　　病毒与杀软对抗的战火似乎并未随着奥运会的到来而消退，提醒广大网民请警惕你的杀软升级程序是否工作正常。

相关文章：