红色警戒：校园网用户注意“AV终结者”病毒

红色警戒：校园网用户注意“AV终结者”病毒

    近日，一类名为“AV终结者”的病毒正在威胁着广大用户的电脑安全，无论病毒特征还是危害程度，都有赶超熊猫烧香的迹象。
    而与熊猫烧香过于“张扬”的特点不同，“AV终结者”的攻击手段更为隐蔽，如果用户感染了该病毒，所有杀毒软件将被禁用；想用搜索引擎去查找一些解决办法，输入“杀毒”字样，浏览器窗口遂被关掉；安全模式也会遭破坏，甚至格式化系统盘重装后还会被再次感染；更为严重的是，该病毒可在用户电脑安全性丧失殆尽的情况下下载大量盗号木马、风险程序，给用户的网络资产带来严峻威胁。

防范措施：

1. 尽量不要使用不明来历的U盘，如果必须使用，使用前一定要进行杀毒。建议使用校园网邮件系统（http://mail.xpu.edu.cn）来传送文件；
2. 开启个人计算机防火墙，并安装杀毒软件（ftp://ftp.xpu.edu.cn/pubs/常用工具）
3. 下载360卫士（ftp://ftp.xpu.edu.cn/pubs常用工具），进行系统清理，更新补丁。鉴于极个别校园网用户XP不是合法用户，对于拷贝用户来讲，请关掉XP自带的系统更新功能，使用360卫士进行补丁安装。

AV终结者中毒症状
   AV病毒英文全名为An-ti-virus（中文为：反病毒），其制造者意在与反病毒行业作对以显其威。此病毒以U盘与网络的传播方式为主，采用Windows映像劫持技术（又名IFEO劫持），当病毒在被感染的客户机运行时，随机产生一组字母数字随机型8位数运行进程，并依靠自身的强大威力，试行关闭计算机中安装的杀毒软件与防火墙等及第三方安全工具的系统进程，甚至连系统更新也无法运行。以达其独居深处雀占巢垒的目的，彻底使中毒计算机暴露在安全防线之外。

病毒发作流程威害
    此病毒经过编写者的深层策化后，具备了惊人的破坏力，只要短短几步即可了结一台计算机，行为步法如下：
    第一步、病毒将关闭计算机中的杀毒软件等工具，让其保护无门。
    第二步、强力破坏安全模式让用户无法进入对其清除，
    第三步、具备识别[安全]与[病毒]字符，让用户无法通过互联网查杀。

附“AV终结者”病毒八大病毒特征：
   1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。
   2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。
   3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。
   4. 禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
   5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复
   6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。
   7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。
   8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

现代教育技术中心
2007年6月15日