Trojan.Win32.KillAV

木馬下載者類，病毒運行後調用API獲取系統資料夾路徑，在%System32%目錄下創建病毒檔案adfbaa.exe，並載入該進程，將%System32%\drivers\目錄下的beep.sys檔案刪除，並創建一個同名的檔案，釋放驅動檔案恢復SSDT使卡巴主動防禦失效，衍生的adfbaa.exe判斷進程是否存在AVP.exe如存在則設定系統時間為1900年，添加註冊表映像劫持，劫持多款安全軟體，使系統安全性降低，連線網路讀取列表下載大量惡意檔案到本地運行，經分析下載的檔案多為盜號木馬，給用戶清理帶來極大的不便！

基本介紹

中文名：Trojan.Win32.KillAV
病毒類型：木馬下載者
公開範圍：完全公開
檔案長度： 9,728 位元組

病毒標籤,行為分析,本地行為,網路行為,清除方案,防毒軟體,手工清除,

病毒標籤

病毒名稱： Trojan.Win32.KillAV.ww (AV終結者)

感染系統： Windows98以上版本

開發工具： Microsoft Visual C++ 6.0

加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

行為分析

本地行為

1、檔案運行後會釋放以下檔案：

%System32%\adfbaa.exe（隨機病毒名）　39,979 位元組

%System32%\drivers\beep.sys 　16,256 位元組

%System32%\drivers\babopx.sys 　3,328 位元組

2、創建註冊表病毒服務：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\nnlhe\DisplayName]

註冊表值: "DisplayName"

類型： REG_SZ

值："nnlhe"

描述: 服務名稱

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\nnlhe\ErrorControl]

註冊表值: "ErrorControl"

類型： REG_SZ

值："DWORD: 0 (0)"

描述: 服務控制

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\nnlhe\ImagePath]

註冊表值: "ImagePath"

類型： REG_SZ

值："\??\C:\DOCUME~1\a\LOCALS~1\Temp\_tmp.bat"

描述: 服務映像檔案的啟動路徑

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\nnlhe\Start]

註冊表值: "Start"

類型： REG_SZ

值："DWORD: 3 (0x3)"

描述: 服務的啟動方式，自動

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\nnlhe\Type]

註冊表值: "Type"

類型： REG_SZ

值："DWORD: 1 (0x1)"

描述: 服務類型

3、通過註冊表映像劫持多款安全軟體：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

Windows NT\CurrentVersion

\Image File Execution Options\被映像劫持的檔案名稱稱]

註冊表值： "Debugger"

類型： REG_SZ

字元串："ntsd -d"

劫持檔案名稱列表：

360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、

adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、

avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、

avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、

FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、

HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、

isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、

KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、

KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、

KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、

KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、

KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、

kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、

KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、

KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、

MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、

Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、

nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、

PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、

QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、

RavStub.exe、RawCopy.exe、RegClean.exe、RegTool.exe、

rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、

rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、

safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、

shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、

SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、

UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、

UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、

webscanx.exe、WinDbg.exe、WoptiClean.exe

4、遍歷進程查找是否存在以下進程名：GuardField.exe、conime.exe、wuauclt.exe、

spoolsv.exe；如發現存在以上進程名則調用TerminateProcess函式強行結束以上

進程。

5、調用LoadLibraryA函式載入SFC.DLL檔案。將%System32%\drivers\目錄下的

beep.sys檔案刪除，並創建一個同名的檔案，釋放驅動檔案babopx.sys恢復SSDT使

卡巴主動防禦失效。

6、衍生的adfbaa.exe判斷進程是否存在AVP.exe如存在則設定系統時間為1900年，添加

註冊表映像劫持，劫持多款安全軟體，使系統安全性降低，連線網路讀取列表下載大

量惡意檔案到本地運行。

網路行為

協定：TCP

連線埠：80

連線伺服器名：http://www.ir***.com/css.txt

IP位址：121.10.115.***

描述：連線伺服器讀取TXT列表內容下載病毒，讀取的列表內容：

[DOWN]

1=http://uiik.ur***.com/down/new1.exe

2=http://uiik.ur***.com/down/new2.exe

3=http://uiik.ur***.com/down/new3.exe

4=http://uiik.ur***.com/down/new4.exe

5=http://uiik.ur***.com/down/new5.exe

6=http://uiik.ur***.com/down/new6.exe

7=http://uiik.ur***.com/down/new7.exe

8=http://uiik.ur***.com/down/new8.exe

9=http://uiik.ur***.com/down/new9.exe

10=http://uiik.ur***.com/down/new10.exe

11=http://uiik.ur***.com/down/new11.exe

12=http://uiik.ur***.com/down/new12.exe

13=http://uiik.ur***.com/down/new13.exe

14=http://uiik.ur***.com/down/new14.exe

15=http://uiik.ur***.com/down/new15.exe

16=http://uiik.ur***.com/down/new16.exe

17=http://nxxv.ur***.com/down/new17.exe

18=http://nxxv.ur***.com/down/new18.exe

19=http://nxxv.ur***.com/down/new19.exe

20=http://nxxv.ur***.com/down/new20.exe

21=http://nxxv.ur***.com/down/new21.exe

22=http://nxxv.ur***.com/down/new22.exe

23=http://nxxv.ur***.com/down/new23.exe

24=http://nxxv.ur***.com/down/new24.exe

25=http://nxxv.ur***.com/down/new25.exe

26=http://nxxv.ur***.com/down/new26.exe

27=http://nxxv.ur***.com/down/new27.exe

28=http://nxxv.ur***.com/down/new28.exe

29=http://nxxv.ur***.com/down/new29.exe

30=http://nxxv.ur***.com/down/new30.exe

31=http://nxxv.ur***.com/down/new31.exe

32=http://nxxv.ur***.com/down/new32.exe

33=http://nxxv.ur***.com/down/new33.exe

34=http://nxxv.ur***.com/down/new34.exe

註： %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的

位置。

%Windir% 　　 WINDODWS所在目錄

%DriveLetter%　　邏輯驅動器根目錄

%ProgramFiles%　　　系統程式默認安裝目錄

%HomeDrive% 　當前啟動的系統的所在分區

%Documents and Settings% 　當前用戶文檔根目錄

%Temp% 　\Documents and Settings

\當前用戶\Local Settings\Temp

%System32% 　系統的 System32資料夾

Windows2000/NT中默認的安裝路徑是C:\Winnt\System32

windows95/98/me中默認的安裝路徑是C:\Windows\System

windowsXP中默認的安裝路徑是C:\Windows\System32

清除方案

防毒軟體

使用安天防線2008可徹底清除此病毒(推薦)。

手工清除

手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1)使用ATOOL進程管理結束病毒進程。

(2)強行刪除病毒下載的大量病毒檔案：

%System32%\adfbaa.exe（隨機病毒名）

%System32%\drivers\beep.sys

%System32%\drivers\babopx.sys

（註：該病毒下載的病毒列表可能會隨時變化）

(3)刪除病毒創建的註冊表項：

[HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Services]

註冊表值: "nnlhe"

刪除nnlhe鍵值

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows NT\CurrentVersion

\Image File Execution Options\被映像劫持的檔案名稱稱]

刪除Image File Execution Options鍵值下所有被映像劫持

的檔案名稱稱

相關詞條

熱門詞條

聯絡我們