AV终结者(av killer)最新变种！

文件名：随机7位数字，可能是例如：uncpqnu.exe、nauumse.exe

中文别名：AV终结者

危害等级：★★★★★

文件大小：142200 byte

AV命名：Worm.Win32.AvKiller

加壳方式：FSG 2.0

编写语言：Borland Delphi 6.0-7.0

病毒类型：AVKiller

文件MD5：72edb66681101528e6b106152ceacbb2

传播方式：U盘等移动介质、网页漏洞。

行为分析：

1、释放病毒副本：

C:\Program Files\meex.exe    32497 字节
C:\Program Files\Common Files\Microsoft Shared\trcussu.inf    169 字节
C:\Program Files\Common Files\Microsoft Shared\uncpqnu.exe    32497 字节
C:\Program Files\Common Files\System\rsqsqkk.exe    32497 字节
C:\Program Files\Common Files\System\trcussu.inf    169 字节

并读取D-Z盘，在其目录下生成Autorun.inf和nauumse.exe（随机7）。

2、删除或重命名以下文件：

NATIVE.EXE
bsmain.exe
verclsid.exe

3、添加注册表，开机启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
注册表值nauumse = C:\Program Files\Common Files\Microsoft Shared\uncpqnu.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
注册表值 trcussu =C:\Program Files\Common Files\System\rsqsqkk.exe

4、驻进程的有2个随机7位的病毒，使用进程守护，每隔一段时间检测对方存在。

若检测不到，则重新加载病毒程序。

5、每隔几毫秒检测磁盘下的Autorun.inf和病毒文件，如不在则重新生成。

6、当自身注册表启动项被删除的时候，则重新写回。

7、IFEO重定向劫持，基本上有名气的安全工具都挂了。

8、尝试关闭一些进程，也就是IFEO劫持的安全工具进程，列一部分：

QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
irsetup.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
upiea.exe
AST.exe

8、查找窗口字体，关闭一些和杀毒有关的字样：

江民 瑞星 毒霸 恶意 流氓软 上报 QQ安全 举报 预警 进程 System Shared 微点 上報 舉報 诊断 杀毒 Sysint VirusTrojan    报警 autorun AV终结 一键 木马 木馬 殺毒    查毒 病毒 360安全 USB :\ - WinRAR Ghost 还原 Process usb 清理助

9、修改注册表，禁用系统自动更新、防火墙和系统帮助等。

10、判断磁盘类型，如果是NTFS的话，则调用命令：

cmd /c echo Y| cacls autorun.inf /t /g everyone:F

保证Autorun.inf权限不被控制。

11、作者似乎还不放心，另外修改了U盘自动启动功能：

看完这篇新闻有何感觉