继熊猫烧香后,我又发现了一个臭名昭著的av终结者病毒,此病毒其变种,对杀毒软件安全类软件的破坏以及清除病毒的难度,引无数英雄好汉竞折腰。后来这个病毒终于被降服,奈何道高一尺,魔高一丈,就像打开了潘多拉的盒子,现在越来越多的病毒都采用了av终结者病毒的独门绝技,映像劫持,使我们防不胜防。
难道我们面对这些映像劫持类病毒爆发时只能坐以待毙吗?非也,在了解了映像劫持的原理后,就让我们一起来打造一个防止这类病毒破坏的反病毒软件。
首先,我们选定一款功能不错的安全软件,打开注册表,查看一下被av终结者劫持的安全软件。
对付利用Autorun.inf文件和移动存储媒介传播的病毒,我比较偏爱USBCleaner,它功能强大,最重要的是免费。他也上了av终结者的黑名单,我们知道,被劫持的安全软件之所以打不开,是因为中毒后的电脑被病毒在后台生成了两个互相守护的进程,不断检测被劫持文件名和枚举新打开的窗口的句柄标签,当发现被劫持的安全软件运行后,立即调用关闭窗口函数,阻止安全软件运行。如果我们修改安全软件窗口相应的标签,让病毒检测不到,那就可以在中毒电脑上正常运行了。废话少说,今天就给USBCleaner动动手术,让他穿上抵御映像劫持的铠甲。
首先,拿出的peid,检查一下主程序。发现加了ASPack2.12的壳,使用peid自带的脱壳插件却无法正确脱掉。竟然还有脱壳机,就不用麻烦手动脱壳了。于是拿出Quick unpack v1.0 beta5,填上入口点OPE:0044159C,脱壳成功。后台监控程序也是加的ASPack2.12壳,同样使用它脱壳。再使用peid查看,已经显示无壳了。
第二步,修改资源。既然是VB程序,修改资源当然首选GetVBRES。我们先运行一下脱壳后的程序,观察窗口标签,显示的是USBCleanerV6.0 Build20070830字符串,找到后进行修改。然后保存为USBclean X exe 。在带毒环境中运行一下,已经可以正常运行了。
至次,主程序就已修改完成了,但后台监控程序还需要进行修改,因为更改了主程序文件名,再右键点击任务栏调用查杀时会出现找不到主程序的出错提示。同样使用GetVBRES打开后台监控程序usbmon.exe,查找USBCleaner.exe,找到后修改为前面保存的主题程序文件名,程序脱壳后,体积变得很大,在确认已全部修改完成后,对他们重新加壳,以减少体积和加快运行速度。
我们看一下杀毒效果。还是很不错的。以后,不管是av终结者还是其他什么的,映像劫持的病毒,在入侵你的电脑时,就不用手动查杀了,是不是很方便呢!