瑞星卡卡安全论坛

最近出现了一些通过调用杀毒软件的卸载程序后台自动卸载杀毒软件的病毒，希望大家注意，下面是某个类似病毒的简单分析何针对此类病毒的防范。

File: NTDUBECT.EXE
Size: 117760 bytes
Modified: 2008年3月1日, 9:11:10
MD5: 1AB6A852EF767FDBB43A4624DA973691
SHA1: 8B5D305B6E50E884B57F9FB72BDF329717ACB904
CRC32: 1A37BB79

1.病毒启动后，调用RegOpenKeyEx函数打开HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav键，之后利用RegQueryValueEx函数获得该键下面的installpath信息，即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序，成功启动后，会查找类名为Button，窗口为卸载(&U)的窗口，然后PostMessage发送消息，接着查找名为“下一步(&N)”的窗口，再PostMessage模拟用户按键发送消息，这样就完成了模拟卸载的过程。

2.其他行为
调用cmd.exe执行net stop "Security Center"
net stop "Windows Firewall/Internet Connection Sharing (ICS)"
和net stop System Restore Service的命令

关闭安全中心，Windows个人防火墙和系统还原

3.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下面添加
"Wingin" = %SYSTEM%\WINGIN.EXE的项目达到开机启动自身的目的

4.另外该病毒会生成如下文件
%systemroot%\system32\knlExt.dll
%systemroot%\system32\Drivers\usbKeyInit.sys
%systemroot%\system32\Wingin.exe

可能由于病毒本身的bug问题,病毒没有运行成功

随着杀毒软件进入了主动防御时代,传统的在ring3级别结束杀毒软件的技术已经逐渐失效，而病毒作者又想出了利用杀毒软件的卸载功能自动卸载杀毒软件这一狠招！因此我们应该严密防范病毒利用此种办法破坏杀毒软件，具体到瑞星杀毒软件，可以利用瑞星主动防御里面的程序启动控制来防范，如图：
打开瑞星杀毒软件主动防御设置界面－程序启动控制 并按照图示设置即可



附件: 554345200837164003.jpg

附图

附件: 554345200837164037.jpg

附图

附件: 554345200837164050.jpg

有创意.作者太有才了.呵呵

越来越滑稽了。

这个病毒确实没怎么成功过。

LS三位大侠好！！

这个样本，我几天前就给麦青儿啦。瑞星应该能杀了。

好东西,瑞星防火墙要保护吗?

Ring3下XX掉RS的方法不少,目前应该没多少木马使用吧

建议瑞星在SSDT_HOOK NtSetValueKey\NtRestoreKey时多加一些判断.

学习师傅的帖了,呵呵,病毒没运行成功~~~~~汗

版主的规则应该作一下调整。

*应该选拒绝。然后瑞星自身的选允许。这样提示就会少多了。

有道理

老大  这病毒把我的 gho. ico  文件全删了  郁闷~~~

引用:

【baohe的贴子】这个样本，我几天前就给麦青儿啦。瑞星应该能杀了。 ………………

好猫叔,样本能给我个么??加密123传到870963432@qq.com
如果现在的杀软可以杀掉的话就不用搞了，瑞星都可以搞了偶就不参或了

高啊~~~~~~~~~~~~~~~~~~

我把所有的安全软件都给设了，哈哈哈哈哈哈哈！

中招了怎么办啊???

病毒如果把杀毒软件关闭了，怎么办。也就是杀毒软件根本打不开，怎么办？

反其道而行之，确实夠狠!

呵呵，谢谢楼主了。

很感谢LZ。但是我已经中招了。装了几次一从起就又被卸了。看了你的帖子。我又重装了。没重起的时候按照你的方法设置了一边。现在瑞星是不会自动卸了。但是现在升不了级了。点升级出来的是卸载的截面。求高手帮忙。