浅谈AV终结者病毒新变种详细分析

这是由机器狗病毒入侵后，下载的数10个病毒的一种，众所周知，AV终结者病毒也是一个下载器。可以想像被机器狗和AV终结者病毒联手蹂躏之后，用户的电脑会成什么状况。

　　该病毒更详尽的分析恕不能发表，详细分析的结果令人惊讶，并且肯定是一份病毒爱好者的上好教程，其它造病毒者稍加点拨，可能引来众多效仿者。其后果，就会让更多的网民遭受更大的损失和困扰。

　　以下内容节自金山毒霸反病毒中心对该病毒的详细分析报告修改后的可公开版本。

　　该DLL样本是木马病毒，它会：

　　(1)检测是否在虚拟机中运行以避免被放在虚拟机中调试。

　　(2)在系统目录、QQ、TM、QQGame目录下释放病毒文件副本。

　　(3)下载病毒文件，改名为wsock32.dll，保存到QQ、TM、TM2008、QQGame的安装目录下。此外，病毒还会删除QQ、TM、TM2008、QQGame在注册表中的部分子键和键值，让其他程序难以准确定位释放的病毒文件的路径。

　　(4)设置ShellServiceObjectDelayLoad启动项，让系统目录下的副本dll随系统自动运行。

　　(5)建立软件特征库，根据文件名特征、版本信息特征、文件数据特征检查当前系统中的进程，结束被匹配到的进程，删除进程文件。

　　包括：ollydbg.ini，Libclsid.dat， KNetWch.SYS，mmskskin.dll，Iereset.dll，KASearch.DLL，Rsaupd.exe，libdll.dat， CleanHis.dll，WoptiClean.sys，kakalib.def，kkinst.ini，KAVBootC.sys，Ras.exe， iehelp.exe，trojandetector.exe，KAConfig.DLL，KAVPassp.DLL，KKClean.dll， VirUnk.def，AntiActi.dll账Smallfrogs，Micropoint，ArSwp，360safe，Duba，毒霸， Kingsoft

　　(6)HookRegEnumValueW账RegEnumValueA账RegOpenKeyExA账CreateFileA账CreateFileW，并创建线程不断检查，以保护自身的键值不被删除。