病毒播报：超级AV终结者”集众毒于一身

    在明天的病毒中“超级AV终结者”、“木马控制器57344”、都值得关注。

    一、明日高危病毒简介及中毒现象描述：

    ◆“超级AV终结者”病毒非常狡猾，它在进入系统后，不会立即运行，而是查找系统中是否存在OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等反病毒工作人员经常使用的工具，如果存在，就会立刻关闭自己、退出运行。很明显，它想刻意逃避反病毒工程师的分析。

    而该毒的危害性主要体现在它强大的对抗能力。由于同时综合了AV终结者、机器狗、扫荡波的特点，从未有任何病毒的对抗能力像此毒一样凶猛。它在进入系统后，首先会恢复系统SSDT表，一旦SSDT表被恢复，就意味着该毒可以穿透任何一款系统还原软件的防线。同时，它按照自带的一份“黑名单”搜索安全软件，只要发现用户安装得有安全软件，就调将其关闭。毒霸反病毒工程师检查它的“黑名单”后发现，这份名单非常庞大，几乎所有网上能搜索到的安全软件，都是该毒的关闭目标。

    事情还没完，如果仅仅是关闭，那么用户还可以重新启动这些安全软件。病毒作者当然不会允许这种事情发生，他给病毒设置了映像劫持功能，劫持这些安全软件的进程。如果用户试图启动它们，唯一的结果就是把病毒再激活一次而已。而为阻止用户向安全软件厂商求助，病毒会屏蔽许多安全软件的官网。

    当解决了“碍事”的安全软件，病毒才放心大胆的读取用户MAC地址，并解密自己的配置文件，获取下载列表，下载大量的盗号木马到用户电脑中运行——这才是它的最终目的。该毒在成功占领一台电脑后，就开始对局域网内的其它电脑实施攻击。它搜索局域网中所有存在MS08067漏洞的电脑，利用漏洞将自己发送到这些电脑上。同时，对所有的电脑展开ARP攻击，劫持用户所浏览网页上的链接，如果用户点击链接，就会被引导到病毒作者安排好的广告网址，或者下载包括该毒在内的一些恶意程序。为确保攻击成功，该毒还会释放出一个扫荡波病毒，协助自己进行攻击。

    必须提及的是，该毒的ARP攻击频率达到令人惊讶的地步，在毒霸反病毒工程师的测试中，该毒对局域网的ARP攻击竟然高达每分钟1万次以上，在三分钟不到的时间里，就能阻塞由数百台电脑组成的局域网。当攻击达到最高峰时，电脑甚至连病毒作者自己指定的网址也无法访问，这种现象可谓是疯狂至极。仅仅在局域网中传播，病毒作者并不满足。为实现更大范围的传播，该毒在执行上述破坏过程时，还会遍历驱动器，在非a:\和b:\的磁盘分区的根目录下创建AUTO文件autorun.inf和system.dll。一旦用户在中毒电脑上使用U盘等移动存储设备，病毒就会自动将其传染。当在U盘插入另一台电脑时，它又会将该电脑传染，这样就实现了自动传播。

    ◆“木马控制器57344”病毒在进入系统后，释放出子文件avgupdt.exe和lsass.exe到%WINDOWS%\SYSTEM32\2054913864\目录下，此目录是随机命名，反而容易被用户发现。当修改注册表启动项、实现开机自启动后，病毒就会运行起来，连接病毒作者指定的黑客服务器，等待黑客指令。

    二、针对以上病毒，51CTO安全频道建议广大用户：