專家解讀：AV終結者病毒新變種詳細分析

這是由機器狗病毒入侵後，下載的數10個病毒的一種，眾所周知，AV終結者病毒也是一個下載器。可以想像被機器狗和AV終結者病毒聯手蹂躪之後，用戶的電腦會成什麼狀況。

該病毒更詳盡的分析恕不能發表，詳細分析的結果令人驚訝，並且肯定是一份病毒愛好者的上好教程，其它造病毒者稍加點撥，可能引來眾多效仿者。其後果，就會讓更多的網民遭受更大的損失和困擾。

以下內容節自金山毒霸反病毒中心對該病毒的詳細分析報告修改後的可公開版本。

該DLL樣本是木馬病毒，它會：

(1)檢測是否在虛擬機中運行以避免被放在虛擬機中調試。

(2)在系統目錄、QQ、TM、QQGame目錄下釋放病毒文件副本。

(3)下載病毒文件，改名為wsock32.dll，保存到QQ、TM、TM2008、QQGame的安裝目錄下。此外，病毒還會刪除QQ、TM、TM2008、QQGame在註冊表中的部分子鍵和鍵值，讓其他程序難以準確定位釋放的病毒文件的路徑。

(4)設置ShellServiceObjectDelayLoad啟動項，讓系統目錄下的副本dll隨系統自動運行。

(5)建立軟體特徵庫，根據文件名特徵、版本信息特徵、文件資料特徵檢查當前系統中的進程，結束被匹配到的進程，刪除進程文件。

包括：ollydbg.ini，Libclsid.dat，KNetWch.SYS，mmskskin.dll，Iereset.dll，KASearch.DLL，Rsaupd.exe，libdll.dat，CleanHis.dll，WoptiClean.sys，kakalib.def，kkinst.ini，KAVBootC.sys，Ras.exe，iehelp.exe，trojandetector.exe，KAConfig.DLL，KAVPassp.DLL，KKClean.dll，VirUnk.def，AntiActi.dll賬Smallfrogs，Micropoint，ArSwp，360safe，Duba，毒霸，Kingsoft

(6)HookRegEnumValueW賬RegEnumValueA賬RegOpenKeyExA賬CreateFileA賬CreateFileW，並創建線程不斷檢查，以保護自身的鍵值不被刪除。

(7)刪除子鍵HKLM/System/CurrentControlSet/Control/SafeBoot/Minimal賬破壞安全模式；

刪除鍵值HKLM/System/CurrentControlSet/Control/SessionManager/PendingF

ileRenameOperations，阻止MoveFileEx的重啟後刪除文件功能；

(8)刪除 QQ、TM、TM2008、QQGame 在註冊表中的子鍵，刪除列表為：

HKLM/Software/tencent/qqHKLM/Software/Tencent/TM/BinHKLM/Software/Tencent/TM20008/BinHKLM/Software/Tencent/QQGame/Sys

(9)修改hosts文件，影響用戶訪問網絡，病毒要修改的hosts列表動態更新，主要是安全軟體公司的網站，這將導致安全產品不能升級，中毒後也不能正常瀏覽安全廠商的網站。

(10)定期下載升級信息，根據升級信息更新文件資料特徵庫。

(11)作為媒介為其他病毒提供侵入用戶系統和升級病毒版本的服務。病毒會比較升級信息中給出要安裝的其他病毒的版本和系統中該病毒的版本，若沒有安裝這些病毒或版本較低，下載新版本的病毒安裝到用戶系統上。

(