（特别关注）500变种集体攻击电脑安全系统

近日，国内各反病毒中心监测到，一种采用“映像劫持”技术的病毒正在互联网上大肆流窜，其特征为：病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，并且尝试关闭多款杀毒软件、防火墙和安全工具进程，使杀毒操作极其困难。目前，金山反病毒中心将该病毒统称为“AV终结者”，瑞星反病毒中心将该病毒称为“帕虫”，江民反病毒中心将该病毒称为“U盘寄生虫”（本文都将其称为“AV终结者”）。截止到昨天，其变种数已达500多个，波及人群超过10万人。
　　★病毒发作时

　　四步可使电脑彻底崩溃

　　据了解，6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。

　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

　　1.禁用所有杀毒软件及相关安全工具，让电脑失去安全保障；

　　2.破坏安全模式，致使用户根本无法进入安全模式清除病毒；

　　3.强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登录，用户无法通过网络寻求解决办法；

　　4.格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

　　此外，经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到拥有病毒的网站，并自动下载数百种木马病毒，各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。

　　★感染病毒之后

　　常用杀毒软件无法查杀

　　同时，记者从瑞星反病毒中心了解到，瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示：“该病毒采用了多种技术手段来保护自身不被清除，例如，它会终结几十种常用的杀毒软件，如果用户使用google、百度等搜索引擎搜索‘病毒’，浏览器也会被病毒强制关闭，使得用户无法取得相关信息。尤为恶劣的是，该病毒还采用了IFEO劫持（windows文件映像劫持）技术，修改注册表，使QQ医生、360安全卫士等几十种常用软件无法正常运行，从而使得用户很难手工清除该病毒。”

　　此外，据瑞星反病毒专家介绍：“该病毒通过映像劫持技术，将大量杀毒软件‘绑架’，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具，而且还可禁止Windows的自更新和系统自带的防火墙，大大降低了用户系统的安全性，这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件（包括U盘），从而使得通过U盘传播的概率大大增加。同时，由于每个分区上都有病毒留下的文件，普通用户即使格式化C盘重装系统，也无法彻底清除该病毒。

■病毒发作症状
　　1.生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。

　　2.绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。

　　3.不能正常显示隐藏文件，其目的是更好地隐藏自身不被发现。

　　4.禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

　　5.破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

　　6.当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

　　7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。很多用户格式化系统分区后重装，访问其他磁盘，立即再次中毒。

　　8.最终目的是下载更多木马、后门程序。用户最后受损失的情况正是取决于此。

　　■防范措施

　　对于病毒而言，良好的防范措施，好过中毒之后再绞尽脑汁去寻找查杀方法，而且一旦感染该病毒，清除过程相当复杂，因此，在采访中，金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施：

　　1.保管好自己的U盘，MP3、移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。

　　2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。

　　3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。

　　4.安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。

　　5.关闭windows的自动播放功能。

　　■传播方式

　　1.通过U盘、移动硬盘的自动播放功能传播。

　　2.AV终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。

　　■专杀工具下载

　　金山毒霸专杀工具下载地址：http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM

　　瑞星反病毒中心专杀工具下载地址：http://it.rising.com.cn/Channels ... 4786729d36873.shtml

　　■手动清除办法

　　1.到网上下载IceSword工具，并将该工具改名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。

　　2.利用IceSword的文件管理功能，展开到C:Program FilesCommon FilesMicrosoft SharedMSINFO下，删除2个8位随机数字的文件，其扩展名分别为：dat 和dll 。再到%windir%help目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。

　　3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。

　　4.利用IceSword的注册表管理功能，展开注册表项到：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]，删除里面的IFEO劫持项。

　　当完成以上操作之后，就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。（手动清除办法由江民反病毒专家提供）