奧運將至 病毒冒充360封鎖殺毒軟體升級程序

【賽迪網-IT技術報道】本周截獲一款屏蔽主流殺毒軟體以及其升級程序的病毒。相比之前類似病毒類樣本而言，該病毒以匹配文件名的方式刪除殺毒軟體的升級程序，以便阻止用戶更新病毒庫進行防護。包括360安全衛士在內的安全工具也在病毒的打擊範圍內。

該病毒創建主要文件：

%Systemroot%/system32/Kernel32.exe%Systemroot%/system32/VVinHe1p.exe%Systemroot%/system32/VVinHe1p.dll%Systemroot%/system32/VVinHe1p.ocx%Systemroot%/system32/VVinHe1p.zip

注意：病毒文件名前面為兩個大寫字母V ，以及後面穿插的數字1。

開機加載服務以及隨機驅動。插入svchost.exe進程，偽裝奇虎公司產品。

在臨時目錄下寫入manifest.txt和sysdata.xml文件，讀取遠程主機的配置文件下載病毒。

http://www.ushealth****.com/kernel/cmd.txt

以360安全衛士之名劫持殺軟域名，屏蔽用戶向各殺軟廠商求助以及修復程序的可能。

127.0.0.1       localhost***以下內容為 360安全衛士 為免疫 360安全衛士 所添加***

具體Hosts見附件：Hosts文件.txt (6.56 KB)

解決方案：

下載附件中的毒霸文件刪除工具，導入病毒文件列表或編輯路徑去執行刪除操作。如圖所示：

下載:DelayDelFile.rar (387.5 KB)

文件列表如下：

%Systemroot%/system32/Kernel32.exe%Systemroot%/system32/VVinHe1p.exe%Systemroot%/system32/VVinHe1p.dll%Systemroot%/system32/VVinHe1p.ocx%Systemroot%/system32/VVinHe1p.zip

詳細使用方法參考：http://bbs.duba.net/thread-21914617-1-1.html

小結：

病毒與殺軟對抗的戰火似乎並未隨著奧運會的到來而消退，提醒廣大網民請警惕你的殺軟升級程序是否工作正常。

(