作者:清新阳光 (
http://hi.baidu.com/newcenturysun)
日期:2008/03/07 (转载请保留此声明)
最近出现了一些通过调用杀毒软件的卸载程序后台自动卸载杀毒软件的病毒,希望大家注意,下面是某个类似病毒的简单分析和针对此类病毒的防范。
File: NTDUBECT.EXE
Size: 117760 bytes
Modified: 2008年3月1日, 9:11:10
MD5: 1AB6A852EF767FDBB43A4624DA973691
SHA1: 8B5D305B6E50E884B57F9FB72BDF329717ACB904
CRC32: 1A37BB79
1.病毒启动后,调用RegOpenKeyEx函数打开HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav键,之后利用RegQueryValueEx函数获得该键下面的installpath信息,即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序,成功启动后,会查找类名为Button,窗口为卸载(&U)的窗口,然后PostMessage发送消息,接着查找名为“下一步(&N)”的窗口,再PostMessage模拟用户按键发送消息,这样就完成了模拟卸载的过程。
2.其他行为
调用cmd.exe执行net stop "Security Center"
net stop "Windows Firewall/Internet Connection Sharing (ICS)"
和net stop System Restore Service的命令
关闭安全中心,Windows个人防火墙和系统还原
3.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下面添加
"Wingin" = %SYSTEM%\WINGIN.EXE的项目达到开机启动自身的目的
4.另外该病毒会生成如下文件
%systemroot%\system32\knlExt.dll
%systemroot%\system32\Drivers\usbKeyInit.sys
%systemroot%\system32\Wingin.exe
可能由于病毒本身的bug问题,病毒没有运行成功
随着杀毒软件进入了主动防御时代,传统的在ring3级别结束杀毒软件的技术已经逐渐失效,而病毒作者又想出了利用杀毒软件的卸载功能自动卸载杀毒软件这一狠招!因此我们应该严密防范病毒利用此种办法破坏杀毒软件,具体到瑞星杀毒软件,可以利用瑞星主动防御里面的程序启动控制来防范,如图:
打开瑞星杀毒软件主动防御设置界面-程序启动控制 并按照图示设置即可
追问在哪怎么一半就停了,什么图看不到,我这个360是重装的,木巴防火墙怎么回事,这个提示是因为病毒吗?
追答Orz.exe病毒症状:
1.Orz.exe关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换为无效的文件。
2.禁用系统安全中心、windows防火墙、系统还原。
3.结束360的进程、删除其进程文件。并修改360的设置,使360的保护失效。
4.释放木马下载者病毒。
5.病毒会释放副本C:\Progra~1\Realtek\ APPath\RTHDCPL.exe,并为之创建启动项:HKLM\SoftWare\Microsoft\Windows\ CurrentVersion\Run\Soundman。
Orz.exe病毒查杀方法:
1.开机,按F8,进入安全模式
2.清楚IE缓存,或者进入“C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files”删除里面的文件
3.“C:\Documents and Settings\用户名\Local Settings\Temp”删除orz.exe
4.再用安全卫士360查杀一下。