Trojan/Win32.KillAV.calArcBomb是一種後門型病毒,該病毒為包裹檔案,病毒運行後釋放"kk.exe"、"kk.dll"病毒檔案到%System32%目錄下。
基本介紹
- 中文名:Trojan/Win32.KillAV.cal[ArcBomb]
- 病毒類型::後門
- 公開範圍:: 完全公開
- 危害等級:: 4
病毒標籤,病毒描述,行為分析-本地行為,清除方案,
病毒標籤
病毒名稱: Trojan/Win32.KillAV.cal[ArcBomb]
病毒類型: 後門
檔案 MD5: 050967D2109531BBB4698DFA838C98A9
公開範圍: 完全公開
危害等級: 4
檔案長度: 72,731 位元組
感染系統: Windows98以上版本
加殼類型: WinUpack 0.39 final -> By Dwing [Overlay]
病毒描述
kk.exe行為分析:病毒運行後,休眠5秒後調用cmd.exe使用rundll32.exe啟動"kk.dll"病毒檔案,創建病毒驅動檔案到%System32%\drivers目錄下,重命名為"GanDiao.sys"。
kk.dll行為分析:添加註冊表病毒服務,遍歷進程查找avp.exe,關閉卡巴事件硬編碼,遍歷進程查找部分安全軟體進程,如找到則強行關閉其進程。
GanDiao.sys行為分析:該病毒驅動檔案主要負責,刪除部分安全軟體服務。
行為分析-本地行為
1、檔案運行後會釋放以下檔案
%system32%\kk.exe
%system32%\kk.dll
%System32%\drivers\GanDiao.sys
2、kk.exe行為分析:病毒運行後,休眠5秒後調用cmd.exe使用rundll32.exe啟動"kk.dll"病毒檔案,創建病毒驅動檔案到%System32%\drivers目錄下,重命名為"GanDiao.sys"。
3、修改註冊表、添加註冊表啟動項、創建病毒服務
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao\DisplayName
值: 字元串: "GanDiao"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao\ImagePath
值: 字元串: "\??\C:\WINDOWS\system32\drivers\GanDiao.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao\Type
值: DWORD: 1 (0x1)
描述:添加註冊表病毒服務
4、kk.dll行為分析:添加註冊表病毒服務,遍歷進程查找avp.exe,關閉卡巴事件硬編碼,遍歷進程查找以下安全軟體進程,如找到則強行關閉其進程。
rsmain.exe scanfrm.exe rsnetsvr.exe safeboxtray.exe 360safe.exe360safebox.exe 360tray.exe antiarp.exe ekrn.exeegui.exe ravmon.exe ravmond.exeravtask.exe ccenter.exe ravstub.exe rstray.exe rav.exe rsaupd.exe agentsvr.exe ccenter.exe qqdoctor.exe drrtp.exe mcproxy.exe mcshield.exe mpfsrv.exe pccguide.exe zonealarm.exe zonealarm.exe wink.exe wfindv32.exe webtrap.exe webscanx.exe webscan.exe vsstat.exe vshwin32.exe vsecomr.exe vir.exe vettray.exe tsc.exe tmproxy.exe tmoagent.exe tmntsrv.exe tca.exe tbscan.exe spy.exe smc.exe secu.exe serv95.exe scrscan.exe scon.exe scanpm.exe scan32.exe scan.exe safeweb.exe rfw.exe rfwmain.exe rfwstub.exe rfwsrv.exe rfwproxy.exe rescue32.exe mon.exe mcafee.exe kvmonxp.exe krf.exe kvprescan.exekppmain.exe kpfwsvc.exe kpfw32.exe kavstart.exekav32.exe kasmain.exe kabackreport.exe jed.exe
5、GanDiao.sys行為分析:該病毒驅動檔案主要負責,刪除部分安全軟體服務。
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 停止病毒服務,刪除以下病毒檔案
%system32%\kk.exe
%system32%\kk.dll
%System32%\drivers\GanDiao.sys
(2)刪除病毒添加的服務
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao
刪除Services鍵值下的GanDiao主鍵值
