[软件故障] 新型AV终结者(Javqhc)木马来势汹汹

Alva

组别:瀚霊蓒區長
性别:
积分:1941
帖子:1155

2008-05-03 14:32 | 只看楼主 树型| 收藏| 小中大 1^#

新型AV终结者(Javqhc)木马来势汹汹

2008年出现两大危害严重的病毒，一个就是病毒之王磁碟机，还有一个就是我们将要介绍的“新型AV终结者（Javqhc）”木马。在毒性上Javqhc木马一点不输给磁碟机，并且大有赶超之势，真是毒王之王毒穿肠~！~

中了Javqhc病毒木马有三个很明显的特征：

1、无法打开360安全卫士、顽固木马专杀大全，系统诊断工具，360U盘专杀，360机器狗专杀等安全软件，运行后被立刻删除。

2、该木马会修改hosts表，用户打开360安全卫士、卡巴斯基、金山、江民、瑞星、赛门铁克等安全厂商的升级服务器、主页、论坛的域名，均会被被劫持到假冒的百度或雅虎页面。

3、系统中qq安装目录下有wsock32.dll存在。Javqhc木马比之磁碟机，隐蔽性更高，一般极难被抓到样本。

病毒分析：病毒主要分为两部分，一部分位于系统目录下，路径为“c:\windows\system32\lkenu.yxr”，病毒用这个模块“lkenu.yxr”插入到通常的几个进程中（一般为explorer.exe,ctfmon.exe）但不会插入其它系统进程。这个模块“lkenu.yxr”模块非常顽固，用冰刃，syscheck，狙剑，JULY，killBox,Process Explorer,unlocker,PowerRmv,XDelBox，等内核级工具均无法删除，极为顽固。

病毒还有一部分位于QQ目录下，如QQ在D盘则病毒也在D盘，里面有两个病毒模块“wsock32.dll”+“iwndaq.dll”，当用户打开QQ的时候，病毒就会通过“wsock32.dll”这个模块被启动，“wsock32.dll”本身没有毒，道理同”Autorun.inf“打开病毒的原理。

这个病毒可恶之处在于，就算重装C盘，只要用户一打开位于其它盘的QQ，瞬间又会被重复感染。病毒在不断进行变种，危害相当严重。而且越来越难以清除，望广大网友千万要提高警惕~

下图 1-8 是病毒从感染到发作的全过程，通常不联网的电脑病毒只会潜伏，不会发作，一连网才会跳出来控制电脑，达到其不可告人的目地。

如发现有以上症状，请立即下载立即下载360新型AV终结者木马专杀工具 360安全卫士，带给你无处不在的贴身呵护~~~~