作者：清新阳光                                                            ( http://hi.baidu.com/newcenturysun)
日期：2008/03/07                                                         (转载请保留此声明)

最近出现了一些通过调用杀毒软件的卸载程序后台自动卸载杀毒软件的病毒，希望大家注意，下面是某个类似病毒的简单分析何针对此类病毒的防范。

File: NTDUBECT.EXE
Size: 117760 bytes
Modified: 2008年3月1日, 9:11:10
MD5: 1AB6A852EF767FDBB43A4624DA973691
SHA1: 8B5D305B6E50E884B57F9FB72BDF329717ACB904
CRC32: 1A37BB79

1.病毒启动后，调用RegOpenKeyEx函数打开HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav键，之后利用RegQueryValueEx函数获得该键下面的installpath信息，即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序，成功启动后，会查找类名为Button，窗口为卸载(&U)的窗口，然后PostMessage发送消息，接着查找名为“下一步(&N)”的窗口，再PostMessage模拟用户按键发送消息，这样就完成了模拟卸载的过程。

2.其他行为
调用cmd.exe执行net stop "Security Center"
net stop "Windows Firewall/Internet Connection Sharing (ICS)"
和net stop System Restore Service的命令

关闭安全中心，Windows个人防火墙和系统还原

3.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下面添加
"Wingin" = %SYSTEM%\WINGIN.EXE的项目达到开机启动自身的目的

4.另外该病毒会生成如下文件
%systemroot%\system32\knlExt.dll
%systemroot%\system32\Drivers\usbKeyInit.sys
%systemroot%\system32\Wingin.exe

可能由于病毒本身的bug问题,病毒没有运行成功

随着杀毒软件进入了主动防御时代,传统的在ring3级别结束杀毒软件的技术已经逐渐失效，而病毒作者又想出了利用杀毒软件的卸载功能自动卸载杀毒软件这一狠招！因此我们应该严密防范病毒利用此种办法破坏杀毒软件，具体到瑞星杀毒软件，可以利用瑞星主动防御里面的程序启动控制来防范，如图：
打开瑞星杀毒软件主动防御设置界面－程序启动控制 并按照图示设置即可