Trojan/Win32.KillAV.cal[ArcBomb]分析
一、 病毒标签:病毒名称: Trojan/Win32.KillAV.cal
病毒类型: 后门
文件 MD5: 050967D2109531BBB4698DFA838C98A9
公开范围: 完全公开
危害等级: 4
文件长度: 72,731 字节
感染系统: Windows98以上版本
加壳类型: WinUpack 0.39 final -> By Dwing
二、 病毒描述:
该病毒为包裹文件,病毒运行后释放“kk.exe”、“kk.dll”病毒文件到%System32%目录下。
kk.exe行为分析:病毒运行后,休眠5秒后调用cmd.exe使用rundll32.exe启动"kk.dll"病毒文件,创建病毒驱动文件到%System32%\drivers目录下,重命名为“GanDiao.sys”。
kk.dll行为分析:添加注册表病毒服务,遍历进程查找avp.exe,关闭卡巴事件硬编码,遍历进程查找部分安全软件进程,如找到则强行关闭其进程。
GanDiao.sys行为分析:该病毒驱动文件主要负责,删除部分安全软件服务。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%system32%\kk.exe
%system32%\kk.dll
%System32%\drivers\GanDiao.sys
2、kk.exe行为分析:病毒运行后,休眠5秒后调用cmd.exe使用rundll32.exe启动"kk.dll"病毒文件,创建病毒驱动文件到%System32%\drivers目录下,重命名为“GanDiao.sys”
3、修改注册表、添加注册表启动项、创建病毒服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao\DisplayName
值: 字符串: "GanDiao"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\drivers\GanDiao.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao\Type
值: DWORD: 1 (0x1)
描述:添加注册表病毒服务
4、kk.dll行为分析:添加注册表病毒服务,遍历进程查找avp.exe,关闭卡巴事件硬编码,遍历进程查找以下安全软件进程,如找到则强行关闭其进程,
rsmain.exe scanfrm.exe rsnetsvr.exe safeboxtray.exe 360safe.exe360safebox.exe 360tray.exe antiarp.exe ekrn.exeegui.exe ravmon.exe ravmond.exeravtask.exe ccenter.exe ravstub.exe rstray.exe rav.exe rsaupd.exe agentsvr.exe ccenter.exe qqdoctor.exe drrtp.exe mcproxy.exe mcshield.exe mpfsrv.exe pccguide.exe zonealarm.exe zonealarm.exe wink.exe wfindv32.exe webtrap.exe webscanx.exe webscan.exe vsstat.exe vshwin32.exe vsecomr.exe vir.exe vettray.exe tsc.exe tmproxy.exe tmoagent.exe tmntsrv.exe tca.exe tbscan.exe spy.exe smc.exe secu.exe serv95.exe scrscan.exe scon.exe scanpm.exe scan32.exe scan.exe safeweb.exe rfw.exe rfwmain.exe rfwstub.exe rfwsrv.exe rfwproxy.exe rescue32.exe mon.exe mcafee.exe kvmonxp.exe krf.exe kvprescan.exekppmain.exe kpfwsvc.exe kpfw32.exe kavstart.exekav32.exe kasmain.exe kabackreport.exe jed.exe
5、GanDiao.sys行为分析:该病毒驱动文件主要负责,删除部分安全软件服务。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 停止病毒服务,删除以下病毒文件
%system32%\kk.exe
%system32%\kk.dll
%System32%\drivers\GanDiao.sys
(2)删除病毒添加的服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao
删除Services键值下的GanDiao主键值
页:
[1]