通過掛馬網(wǎng)站、U盤傳播，對360、nod32等多種安全軟件有針對性的破壞或劫持，下載大量木馬病毒，破壞系統(tǒng)的一些功能，具有“機(jī)器狗病毒功能，能夠破壞系統(tǒng)還原 。1、病毒運(yùn)行后首先會將自身屬性設(shè)置為“系統(tǒng)，隱藏，并判斷當(dāng)前同目錄下是否存在autorun.inf文件，如果存在則打開當(dāng)前病毒所在的盤符 。如果不存在autorun.inf文件，則設(shè)置該病毒本體在重啟計(jì)算機(jī)后刪除 。創(chuàng)建一個名為“MYLASTONE的互斥量，保證系統(tǒng)只有一個實(shí)例運(yùn)行 。2、查找是否有ekrn.exe進(jìn)程，如果有則執(zhí)行如下指令cmd /c sc delete ekrncmd /c taskkill /im ekrn.exe /fcmd /c taskkill /im egui.exe /f查找是否有nod32krn.exe進(jìn)程，如果有則執(zhí)行如下指令cmd /c sc delete nod32krncmd /c taskkill /im nod32krn.exe /fcmd /c taskkill /im nod32gui.exe /f3、創(chuàng)建多個線程執(zhí)行不同操作線程1：在臨時(shí)文件夾下釋放一個dll?.tmp的文件，并獲取其導(dǎo)出表中的Rkdll函數(shù)地址，并加載該Dll文件線程2：檢查%windir%system32dllcachelinkinfo.dll是否存在，如果不存在則將%windir%system32linkinfo.dll復(fù)制到%windir%system32dllcachelinkinfo.dll線程3：每隔30秒查找是否有360tray.exe這個進(jìn)程，如果有則釋放Fontssafeme.sys和Fontssafeg.sys這兩個驅(qū)動 。查找360tray.exe，360Safe.exe，safeboxTray.exe，360safebox.exe的進(jìn)程，得到它們的pid，并傳給Fontssafeme.sys這個驅(qū)動，該驅(qū)動調(diào)用MmUnmapViewOfSection函數(shù)釋放掉這些進(jìn)程的內(nèi)存，使他們退出 。加載Fontssafeg.sys這個驅(qū)動，并直接向該驅(qū)動發(fā)IRP刪除C:Program Files360safesafemon360Tray.exe，D:Program Files360safesafemon360tray.exe，E:Program Files360safesafemon360tray.exe 。線程4：對avp.exe實(shí)行IFEO映像劫持，指向ntsd.exe;釋放驅(qū)動fontsdansl.sys，該驅(qū)動為機(jī)器狗類驅(qū)動，直接在系統(tǒng)底層替換掉%windir%system32linkinfo.dll線程5：每隔30秒，向所有分區(qū)的根目錄下釋放autorun.inf和RGER.PIF 。Dll?.tmp文件功能：創(chuàng)建一個線程，結(jié)束如下進(jìn)程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….并對上述大多數(shù)進(jìn)程進(jìn)行映像劫持 。停止如下服務(wù)：sharedaccessMcShieldKWhatchsvcKPfwSvcKingsoft Internet Security Common ServiSymantec AntiVirusnorton AntiVirus serverDefWatchSymantec AntiVirus Drivers ServicesSymantec AntiVirus Definition WatcherMcAfee Framework 服務(wù)Norton AntiVirus Server針對IceSword查找類名為AfxControlBar42s的窗口，先發(fā)送WM_CLOSE再發(fā)送VK_RETURN消息模擬按回車鍵關(guān)閉冰刃 。操作SOFTWAREMicrosoftWindowsCurrentVersionexploreradvancedfolderhiddenshowall使得顯示隱藏文件不可用刪除SOFTWAREMicrosoftWindowsCurrentVersionRun下面的360Safetray，360Safebox，360Safebox，vptray，ccApp相關(guān)鍵值 。刪除SYSTEMCurrentControlSetControlSafeBootMinimal和SYSTEMCurrentControlSetControlSafeBootNetwork破壞安全模式查找avp.exe，找到后，遍歷并卸載kavbase.kdl和webav.kdl這兩個模塊 。下載病毒和其他木馬程序 。

推薦閱讀

• 

  哨所是干什么的
• 

  舞蹈學(xué)可以考公務(wù)員嗎
• 

  快手app在動態(tài)中隱藏個人信息的方法
• 

  2019深圳最新限行時(shí)間和路段
• 

  18k金鉆戒指掉色怎么辦
• 

  買菜省錢勿犯7種錯誤 買菜省錢防套路攻略都在這
• 

  新房夏天如何除甲醛
• 

  ysl唇釉保質(zhì)期
• 

  減少拍照的照片所用的空間
• 

  健康碼彈窗是黃碼嗎
• 

  草莓種子直接種可以嗎
• 

  10萬左右買豪車 十萬左右豪車怎么選
• 

  坐高鐵專車是什么意思，請問河南省漯河到山西和順咋走都坐啥車火車路線謝謝了
• 

  水滿茶和鷓鴣茶是什么樣子怎么喝
• 

  就坐還是就座，就坐與就座哪個規(guī)范？
• 

  采菊東籬下的下一句，為什么采菊東籬下,悠然見南山是千古名句

• 硬盤終結(jié)者病毒解決辦法
• 桃小食心蟲七月重防治
• 桃樹七月份咋施肥
• 七月份蔬菜有哪些上市
• 為什么叫乞巧節(jié)
• 揭秘“AV終結(jié)者”病毒的生態(tài)鏈
• 陽歷七月是什么星座
• 核桃樹七月要防刺蛾為害
• 七月是什么星座它的標(biāo)志是什么
• 七月節(jié)日名為什么