超级AV终结者文件分析

超级AV终结者文件分析

超级AV终结者文件中的关键模块包括母体dll,它导出的函数如explore,通过调用ShellExecuteA来执行"explorer open .",实现了在各个驱动器下打开当前目录的功能。

另外,dll还包含SchedServiceMain、ServiceMain、SvchostEntry_W32Time等几个重要函数。首先,它采用复杂的方法检测是否存在调试器,如OllyICE.exe、OllyDbg.exe等,一旦发现,就会立即退出以防止被调试。接着,dll创建了NSDownLoader20Vip02互斥体,确保其运行的独立性。

在安全措施方面,dll会检查并关闭可能存在的防病毒或安全软件进程,通过驱动中的ZwTerminateProcess函数来达到这一目的。此外,它还会释放资源102到%sys32dir%\Nskhelper2.sys,并通过创建名为NsRk1的服务,利用它来恢复SSDT,进一步加强了系统的控制。

这是一个对抗能力极强的下载器。它结合了AV终结者、机器狗、扫荡波、autorun病毒的众多特点,行为及其恶劣。它主要是利用MS08067漏洞在局域网内传播,对抗安全软件,下载大量的木马。由于带有穿透功能,对网吧和局域网用户影响很大。