Trojan.Win32.KillAV

病毒标签病毒名称： Trojan.Win32.KillAV.ww

病毒类型： 木马下载者

文件 MD5： 01322FD0B6AFE8497D429AFC8F1943F2

公开范围： 完全公开

危害等级： 4

文件长度： 9,728 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

病毒描述该病毒下载者木马类，病毒运行后调用API获取系统文件夹路径，在%System32%目录下创建病毒文件adfbaa.exe（随机病毒名），并加载创建该病毒进程，遍历进程查找是否存在以下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程，调用LoadLibraryA 函数加载SFC.DLL文件。将%System32%drivers目录下的beep.sys文件删除，并创建一个同名的文件，释放驱动文件恢复SSDT使卡巴主动防御失效，衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗号木马，给用户清理带来极大的不便！

行为分析本地行为：

1、文件运行后会释放以下文件：

%System32%adfbaa.exe（随机病毒名） 39,979 字节

%System32%driverseep.sys 16,256 字节

%System32%driversabopx.sys 3,328 字节

2、创建注册表病毒服务：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services

nlheDisplayName]

注册表值: "DisplayName"

类型： REG_SZ

值："nnlhe"

描述: 服务名称

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services

nlheErrorControl]

注册表值: "ErrorControl"

类型： REG_SZ

值："DWORD: 0 (0)"

描述: 服务控制

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services

nlheImagePath]

注册表值: "ImagePath"

类型： REG_SZ

值："??C:DOCUME~1aLOCALS~1Temp\_tmp.bat"

描述: 服务映像文件的启动路径

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services

nlheStart]

注册表值: "Start"

类型： REG_SZ

值："DWORD: 3 (0x3)"

描述: 服务的启动方式，自动

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

Services

nlheType]

注册表值: "Type"

类型： REG_SZ

值："DWORD: 1 (0x1)"

描述: 服务类型

3、通过注册表映像劫持多款安全软件：

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Windows NTCurrentVersion

Image File Execution Options被映像劫持的文件名称]

注册表值： "Debugger"

类型： REG_SZ

字符串："ntsd -d"

劫持文件名列表：

360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、

adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、

avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、

avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、

FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、

HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、

isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、

KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、

KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、

KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、

KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、

KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、

kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、

KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、

KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、

MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、

Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、

nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、

PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、

QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、

RavStub.exe、RawCopy.exe、RegClean.exe、RegTool.exe、

rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、

rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、

safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、

shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、

SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、

UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、

UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、

webscanx.exe、WinDbg.exe、WoptiClean.exe

4、遍历进程查找是否存在以下进程名：GuardField.exe、conime.exe、wuauclt.exe、

spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上

进程。

5、调用LoadLibraryA函数加载SFC.DLL文件。将%System32%drivers目录下的

beep.sys文件删除，并创建一个同名的文件，释放驱动文件babopx.sys恢复SSDT使

卡巴主动防御失效。

6、衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年，添加

注册表映像劫持，劫持多款安全软件，使系统安全性降低，连接网络读取列表下载大

量恶意文件到本地运行。

网络行为:

协议：TCP

端口：80

连接服务器名：http://www.ir***.com/css.txt

IP地址：121.10.115.***

描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：

[DOWN]

1=http://uiik.ur***.com/down/new1.exe

2=http://uiik.ur***.com/down/new2.exe

3=http://uiik.ur***.com/down/new3.exe

4=http://uiik.ur***.com/down/new4.exe

5=http://uiik.ur***.com/down/new5.exe

6=http://uiik.ur***.com/down/new6.exe

7=http://uiik.ur***.com/down/new7.exe

8=http://uiik.ur***.com/down/new8.exe

9=http://uiik.ur***.com/down/new9.exe

10=http://uiik.ur***.com/down/new10.exe

11=http://uiik.ur***.com/down/new11.exe

12=http://uiik.ur***.com/down/new12.exe

13=http://uiik.ur***.com/down/new13.exe

14=http://uiik.ur***.com/down/new14.exe

15=http://uiik.ur***.com/down/new15.exe

16=http://uiik.ur***.com/down/new16.exe

17=http://nxxv.ur***.com/down/new17.exe

18=http://nxxv.ur***.com/down/new18.exe

19=http://nxxv.ur***.com/down/new19.exe

20=http://nxxv.ur***.com/down/new20.exe

21=http://nxxv.ur***.com/down/new21.exe

22=http://nxxv.ur***.com/down/new22.exe

23=http://nxxv.ur***.com/down/new23.exe

24=http://nxxv.ur***.com/down/new24.exe

25=http://nxxv.ur***.com/down/new25.exe

26=http://nxxv.ur***.com/down/new26.exe

27=http://nxxv.ur***.com/down/new27.exe

28=http://nxxv.ur***.com/down/new28.exe

29=http://nxxv.ur***.com/down/new29.exe

30=http://nxxv.ur***.com/down/new30.exe

31=http://nxxv.ur***.com/down/new31.exe

32=http://nxxv.ur***.com/down/new32.exe

33=http://nxxv.ur***.com/down/new33.exe

34=http://nxxv.ur***.com/down/new34.exe

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的

位置。

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% Documents and Settings

当前用户Local SettingsTemp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:WinntSystem32

windows95/98/me中默认的安装路径是C:WindowsSystem

windowsXP中默认的安装路径是C:WindowsSystem32

清除方案1 、使用安天防线2008可彻底清除此病毒(推荐)。

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用ATOOL进程管理结束病毒进程。

(2)强行删除病毒下载的大量病毒文件：

%System32%adfbaa.exe（随机病毒名）

%System32%driverseep.sys

%System32%driversabopx.sys

（注：该病毒下载的病毒列表可能会随时变化）

(3)删除病毒创建的注册表项：

[HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServices]

注册表值: "nnlhe"

删除nnlhe键值

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Windows NTCurrentVersion

Image File Execution Options被映像劫持的文件名称]

删除Image File Execution Options键值下所有被映像劫持

的文件名称

• ·鸡金散
• ·凛若秋霜
• ·谦政风暴
• ·膜融合现象
• ·蓝色浪漫
• ·毕节地区民族中学
• ·圣年历
• ·记忆交错之恋
• ·贝里
• ·我们班的博客