天高云淡

危险等级：★★★
病毒名称：Trojan.DL.Win32.AntiAV.a
截获时间：2007-10-26
入库版本：19.46.42
类型：病毒

感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

全球化传播态势：低

破坏力：低

清除难度：困难

破坏手段：下载恶意程序并执行，具有穿越杀毒软件主动防御和使各厂家软件病毒预警模块失效的功能。

这是一个这是一个Delphi编写的木马程序，主要功能为下载并运行可疑文件并运行,该病毒的危害级别较高。

1.病毒运行后会将调用CreateThread起两个线程，完成穿越杀毒软件主动防御和使各厂家软件病毒预警模块失效的功能。具体实现如下：

(1)线程1：以10毫秒为周期，调用FindWindow查找“WINDOW:主动防御 信息”的窗口，调用SendMessage发送WM_LBUTTONDOWN和WM_LBUTTONUP消息，模拟鼠标左键点击“答应”按键，来通过杀毒软件的主动防御。

(2)线程2：以5毫秒为周期，调用FindWindow查找”AVP.AlertDialog”，”AVP.Product_Notification”，”注册表警告”，”###McAlertWindow###”，”McAfee Personal Firewall Plus 警报”，”瑞星注册表监控提示”的”NotifyWnd”-报警的按键类窗口；调用SendMessage发送WM_CLOSE消息关闭这些病毒预警提示窗口，实现使各厂家软件病毒预警模块失效的功能。

2.病毒会将自身复制到%WINDIR%\inf目录下，分析当时存储的文件名为MsnSvc64.exe（病毒复制到系统的的文件名和病毒原始文件名相同），并将资源中的动态库以文件名为usbctrl02.inf释放到同目录下，将这两个文件的属性设置为系统和隐藏，设置消息钩子将该动态库加载到系统进程中，该动态库主要功能为辅助主文件实现自身的加载、注册表项的修改和下载可疑文件并运行等功能。

3.病毒会向注册表项
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options \ctfmon.exe
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe

中加入Debugger子键其键值为“%WINDIR%\inf \MsnSvc64.exe”。（指定的文件名为复制到系统中的病毒文件名）被修改后，假如运行指定程序ctfmon.exe，系统会自动将病毒文件运行起来。

4.病毒会写如下注册表项，实现病毒主文件开机自启动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNService
DNS Service = (IMAGEPATH)%WINDOWS%\INF\ MSNSVC64.EXE

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.46.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。