AV終結者病毒現象以及傳播方式與防范措施

金山毒霸客戶服務中心最近收到大量用戶求助，用戶反饋的現象大致差不多：殺毒軟件不能用，想用搜索引擎去查找一些解決辦法，輸入殺毒，瀏覽器窗口就被關掉。在金山毒霸論壇，也有大量用戶反應相同或類似的情況。而在珠海毒霸研發部，已經監測到此類病毒泛濫的情況。監測發現了一系列反擊殺毒軟件，破壞系統安全模式，植入木馬下載器的病毒。并將這一類病毒命名為“AV終結者”，AV終結者指的是一批具備以下破壞性的病毒、木馬和蠕蟲。

病毒現象

1.生成很多8位數字或字母隨機命名的病毒程序文件，并在電腦開機時自動運行。

2.綁架安全軟件，中毒后會發現幾乎所有殺毒軟件，系統管理工具，反間諜軟件不能正常啟動。即使手動刪除了病毒程序，下次啟動這些軟件時，還會報錯。

3.不能正常顯示隱藏文件，其目的是更好的隱藏自身不被發現。

4.禁用windows自動更新和Windows防火墻，這樣木馬下載器工作時，就不會有任何提示窗口彈出來。為該病毒的下一步破壞打開方便之門。

5.破壞系統安全模式，使得用戶不能啟動系統到安全模式來維護和修復

6.當前活動窗口中有殺毒、安全、社區相關的關鍵字時，病毒會關閉這些窗口。假如你想通過瀏覽器搜索有關病毒的關鍵字，瀏覽器窗口會自動關閉。

7.在本地硬盤、U盤或移動硬盤生成autorun.inf和相應的病毒程序文件，通過自動播放功能進行傳播。這里要注意的是，很多用戶格式化系統分區后重裝，訪問其它磁盤，立即再次中毒，用戶會感覺這病毒格式化也不管用。

8.病毒程序的最終目的是下載更多木馬、后門程序。用戶最后受損失的情況取決于這些木馬和后門程序。

傳播方式

1.通過U盤、移動硬盤的自動播放功能傳播

2.AV終結者最初的來源是通過大量劫持網絡會話，利用網站漏洞下載傳播。和前一段時間ARP攻擊的病毒泛濫有關。

金山毒霸針對此病毒的解決方案

因為這個病毒同樣會攻擊金山毒霸，已經中毒的電腦會發現金山毒霸不能啟動，雙擊沒反應。利用手動解決相當困難，并且，AV終結者是一批病毒，不能簡單的通過分析報告來人工刪除。我們推薦的清除步驟如下：

1.在能正常上網的電腦上登錄金山毒霸網站下載AV終結者病毒專殺工具

下載地址：http://zhuansha.duba.net/259.shtml

2.在正常的電腦上禁止自動播放功能，以避免通過插入U盤或移動硬盤而被病毒感染。把AV終結者專殺工具從正常的電腦復制到U盤或移動硬盤上，然后再復制到中毒的電腦上。

3.執行AV終結者專殺工具，清除已知的病毒，修復被系統配置。

(注：AV終結者專殺工具的重要功能是修復被破壞的系統，包括修復映像劫持;修復被破壞的安全模式;修復隱藏文件夾的正常顯示和刪除各磁盤分區的自動播放配置。)

4.不要立即重啟電腦，然后啟動殺毒軟件，升級病毒庫，進行全盤掃描。以清除木馬下載器下載的其它病毒。

防范措施

因為AV終結者病毒一旦感染，清除過程相當復雜，可能不少用戶就會去重裝。我們建議用戶不要輕易重裝系統，使用我們推薦的步驟完成清除，必要時撥打客服電話，請求支持。請采取以下措施防范AV終結者病毒

1.使用金山網鏢或Windows防火墻，可有效防止網絡病毒通過黑客攻擊手段入侵。

2.使用金山毒霸的漏洞修復功能或者windows update來修補系統漏洞，特別需要注意安裝瀏覽器的最新補丁。

3.升級殺毒軟件，開啟實時監控

4.網管采取綜合措施防范ARP攻擊掛馬事件

5.關閉windows的自動播放功能

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]