最近校园网上出现病毒造成广大师生电脑“杀毒软件被病毒关闭”、“磁盘双击打不开”、“系统运行缓慢”等现象。根据我们检测发现这一现象主要是由“磁盘机病毒”和“AV终结者病毒”造成的，下面是针对上述两种病毒的介绍及预防处理措施。（再次提醒广大用户，请安装操作系统后及时安装学校提供的正版杀毒软件趋势科技网络版防毒墙http://sc.cqnu.edu.cn，和杀查木马的工具如“360安全卫士”保证计算机的安全。）

一、病毒名称：“AV终结者” 

传播方式：内存，windows漏洞 

破坏方式：进程插入 

生成病毒文件名：随机8位字符 

自我保护：应用程序绑架 

病毒目的：从网络上下载大量木马 

“AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒，它是通过闪存等存储介质或者注入服务器来实现的。

病毒特征：

“AV终结者”病毒运行后会在系统中生成如下几个文件：C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dll、C:\windows\随机生成病毒名.chm

“AV终结者”的病毒名是由大写字母+数字随机组合而成，其长度为8位，可以说生成同名病毒的概率是很低的。因此即使我们知道了这是病毒生成的文件，也别指望通过病毒名在网络上找到病毒的清楚方法。 

“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件，当用户双击盘符时就会激活病毒，即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法，不少用户也懂得删除病毒生成的anuorun.inf文件，但是当我们进入“文件夹选项里”，想显示隐藏文件时，可以发现这里已经被病毒给禁用了。 

针对杀毒软件的攻击，是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时，病毒就会乘胜追击，通过一种“映象劫持”技术将杀毒软件彻底打入死牢。 

“映象劫持”会在注册表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后，病毒还会在里面建立一个Debugger键，键值为“c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时，运行的其实是病毒程序。 

为了避免在“任务管理器”中露出破绽，病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中，这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作，例如你想手动清楚病毒，修改注册表，病毒没隔一段时间就会把注册表改回去，让你百费劲。另一个作用是监视IE窗口，发现用户搜索病毒资料时，立即关闭网页。 

此外，病毒还会破坏windows防火墙和安全模式，封堵用户的后路。最重要的是，病毒会从网络上下载大量盗号木马，盗取用户的游戏帐户信息，这也是它的真正目的。 

预防措施 ：

1、要禁止自动播放功能，并能及时更新系统补丁，尤其是MS06-014和MS07-017这两个补丁。 

2、要限制IFEO的读写权，达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下：开始--运行，输入regedit32，找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options，右击此选项，在弹出的菜单中选择“权限”，然后把administrors用户组和users用户组的权限全部取消即可。最后，要限制 SAFEBOOT的读写权，达到限制“AV终极者”修改或删除Drives，保护安全模式正常运行的目的。

操作方法如下：同样是在32位注册表里找到：

HKEY-LOCAL-MACHINE\SYSTEM\contorlset001\control\safeboot\network\{4d36e967 -e325-11ce-bfc1-08002be10318};HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}，将administors用户组和users用户组的权限全部取消即可。

3、把防病毒软件病毒码更新到最新，进行全盘扫描

二、病毒名称：磁盘机病毒 

传播方式：内存，windows漏洞、U盘、互连网等

破坏方式：进程插入 

病毒特征：

此病毒会释放如下文件：

%System%\com\lsass.exe 95,744 字节 (md5:1E05A4F77A3A65BFC7C9F2E42C7C0B5E)
%System%\com\smss.exe 40,960 字节(md5:2C5834F823066354D9E92396ECACA50D)
%System%\dnsq.dll 32,256 字节(md5:46E993717175142DCDFFBDD53E30CA9D)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.??????.exe (随机6~8位数字)
(md5:13949CF3910B0D255439136EC1B6CD78)或者(md5:7F3537DD29D7006D204EBBA77770384E)
C:\Documents and Settings\"当前用户"\「开始」菜单\程序\启动\~.exe.??????.exe (随机6~8位数字)
(md5:13949CF3910B0D255439136EC1B6CD78)或者(md5:7F3537DD29D7006D204EBBA77770384E)
每个磁盘根目录下都会释放下面两个文件，包括系统盘
X:\AUTORUN.INF   172 字节(md5:106B537598BCE8003D787F4C47E6ECB9)

X:\pagefile.pif   95,744 字节(md5:1E05A4F77A3A65BFC7C9F2E42C7C0B5E)

此变种是从“开始菜单”的“启动”项启动，向系统进程注入 dnsq.dll ，然后从“启动”项里删除自己，（拦截系统关机函数，用户关机时再次写入）。因为此病毒拦截了多个系统API函数，所以想要手动查杀该病毒不是太容易，因为此病毒会阻止 冰刃、SReng 等工具启动。。。

预防措施：

1、  杀毒软件病毒码及时更新；

2、  打上系统漏洞补丁；

3、  规范上网行为和访问URL地址；

“磁盘机病毒“专杀工具，该工具运行结束后冷启动计算机（直接切断电源或按RESET按钮重新启动。

三、机器狗木马介绍  http://www.360.cn/bobao/jiqigou.html