反病毒殺手木馬下載器

“反病毒殺手木馬下載器（Trojan.DL.Win32.AntiAV.a）”病毒：警惕程度★★★，該病毒下載木馬病毒，通過網路傳播。依賴系統： WINNT/2000/XP/2003。

該病毒的危害級別較高，它可以騙取防毒軟體的信任，並且能夠強行關閉正在運行的多種防毒軟體。病毒在通過對系統註冊表和系統檔案的修改之後可以隨系統開機而自動啟動。

1.病毒運行後會將調用CreateThread起兩個執行緒，完成穿越防毒軟體主動防禦和使各廠家軟體病毒預警模組失效的功能。具體實現如下：

(1)執行緒1：以10毫秒為周期，調用FindWindow查找“WINDOW:主動防禦 信息”的視窗，調用SendMessage傳送WM_LBUTTONDOWN和WM_LBUTTONUP訊息，模擬滑鼠左鍵點擊“允許”按鍵，來通過防毒軟體的主動防禦。

(2)執行緒2：以5毫秒為周期，調用FindWindow查找"AVP.AlertDialog"，"AVP.Product_Notification"，"註冊表警告"，"###McAlertWindow###"，"McAfee Personal Firewall Plus 警報"，"瑞星註冊表監控提示"的"NotifyWnd"-報警的按鍵類視窗；調用SendMessage傳送WM_CLOSE訊息關閉這些病毒預警提示視窗，實現使各廠家軟體病毒預警模組失效的功能。

2.病毒會將自身複製到%WINDIR%\inf目錄下，分析當時存儲的檔案名稱為MsnSvc64.exe（病毒複製到系統的的檔案名稱和病毒原始檔案名稱相同），並將資源中的動態庫以檔案名稱為usbctrl02.inf釋放到同目錄下，將這兩個檔案的屬性設定為系統和隱藏，設定訊息鉤子將該動態庫載入到系統進程中，該動態庫主要功能為輔助主檔案實現自身的載入、註冊表項的修改和下載可疑檔案並運行等功能。

3.病毒會向註冊表項

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options \ctfmon.exe

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe

中加入Debugger子鍵其鍵值為“%WINDIR%\inf \MsnSvc64.exe”。（指定的檔案名稱為複製到系統中的病毒檔案名稱）被修改後，如果運行指定程式ctfmon.exe，系統會自動將病毒檔案運行起來。

4.病毒會寫如下註冊表項，實現病毒主檔案開機自啟動

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNService

DNS Service = (IMAGEPATH)%WINDOWS%\INF\ MSNSVC64.EXE