王朝百科
分享
 
 
 

Trojan.Win32.KillAV.amf

王朝百科·作者佚名  2010-04-25  
宽屏版  字体: |||超大  

病毒标签病毒名称: Trojan.Win32.KillAV.amf

中文名称: AV终结者

病毒类型: 木马

文件 MD5: BCE3B1355C6076145E9E8AD60A0C27D3

公开范围: 完全公开

危害等级: 4

文件长度: 30,796 字节

感染系统: Windows98以上版本

开发工具: Borand Delphi

加壳类型: WinUpack 0.39

病毒描述该病毒中文名称为“AV终结者”,属于木马类。病毒运行后,首先在%Documents and Settings%All Users目录下衍生病毒配置文件lljydf16.ini,然后根据lljydf16.ini内容在%Windir%system下衍生llzjy080902.exe、zjj32dla.dll;并在逻辑盘根目录下释放AutoRun.inf、auto.exe,以便于利用移动设备进行传播;在%HomeDrive%下衍生dfDelmlljy.bat,用于在该病毒执行完自身代码后,删除该病毒文件和自身。新增注册表项,添加启动项,禁用IE默认关联检查,关闭开机自动拨号联网功能。利用命令行ntsd命令结束相关安全软件进程。暗中调用iexplore.exe加载病毒文件zjj32dla.dll读取下载信息,连接网络,下载大量病毒文件并在本机运行。

行为分析本地行为

1、文件运行后会释放以下文件

%Documents and Settings%All Userslljydf16.ini 145字节

%Windir%systemllzjy080902.exe 30,796 字节

%Windir%systemzjj32dla.dll 45,056字节

2、 新增注册表

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

注册表值: "Check_Associations"

类型: REG_SZ

字符串: "no"

描述: 禁用IE默认关联检查

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]

注册表值: "EnableAutodial"

类型: DWORD

字符串: "0"

描述: 关闭开机自动拨号联网功能

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

un]

注册表值: "dlnjj_df "

类型: REG_SZ

字符串: " C:WINDOWSsystemllzjy080902.exe "

描述: 添加启动项,当所有用户重新登陆启动系统时运行病毒文件

3、 利用ntsd命令结束相关安全软件进程如kvxp.kxp、360tray.exe。

4、 lljydf16.ini内容:

[mydown]

old_exe=

old_dll32=

ver=080902

fn_exe=C:WINDOWSsystemllzjy080902.exe

reg_start=dlnjj_df

fn_dll=C:WINDOWSsystemzjj32dla.dll

5、 AutoRun.inf内容:

[AutoRun]

shellopen=(&O)

shellopenCommand=auto.exe

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexplorecommand=auto.exe

6、在%HomeDrive%下衍生病毒批处理文件dfDelmlljy.bat,用于在该病毒执行完自身代码后,删除该病毒文件和自身。

网络行为

1、 暗中调用iexplore.exe进程加载病毒文件zjj32dla.dll,从而读取病毒下载信息。

2、 连接网络,通过调用函数urldownloadtofilea下载大量病毒文件,并在本机运行。

协议:TCP

域名:http://qq-****.com.cn/youxi

端口:80

http://qq-****.com.cn/youxi/1.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tctu

http://qq-****.com.cn/youxi/2.exe 病毒名:Trojan-GameThief.Win32.Magania.ablu

http://qq-****.com.cn/youxi/3.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tctl

http://qq-****.com.cn/youxi/4.exe 病毒名:Worm.Win32.AutoRun.mkd

http://qq-****.com.cn/youxi/5.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcxy

http://qq-****.com.cn/youxi/6.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tapu

http://qq-****.com.cn/youxi/7.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcnt

http://qq-****.com.cn/youxi/8.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyh

http://qq-****.com.cn/youxi/9.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyb

http://qq-****.com.cn/youxi/11.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcya

http://qq-****.com.cn/youxi/12.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcnt

http://qq-****.com.cn/youxi/13.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcqi

http://qq-****.com.cn/youxi/14.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.synr

http://qq-****.com.cn/youxi/15.exe 病毒名:Trojan-GameThief.Win32.Magania.abmz

http://qq-****.com.cn/youxi/16.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyj

http://qq-****.com.cn/youxi/17.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyb

http://qq-****.com.cn/youxi/18.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyz

http://qq-****.com.cn/youxi/19.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcye

http://qq-****.com.cn/youxi/21.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.sxxa

http://qq-****.com.cn/youxi/22.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcxv

http://qq-****.com.cn/youxi/23.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.sxtn

http://qq-****.com.cn/youxi/24.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcnt

http://qq-****.com.cn/youxi/25.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyi

http://qq-****.com.cn/youxi/26.exe 病毒名:Trojan.Win32.Kilva.ew

http://qq-****.com.cn/youxi/27.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.sxae

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%逻辑驱动器根目录

%ProgramFiles%系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp%Documents and Settings

当前用户Local SettingsTemp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:WinntSystem32

Windows95/98/me中默认的安装路径是C:WindowsSystem

WindowsXP中默认的安装路径是C:WindowsSystem32

清除方案1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用ATOOL“进程管理”结束病毒调用的进程

%ProgramFiles%Internet ExplorerIEXPLORE.EXE

(2) 删除病毒衍生的文件

%Temp%2.tmp

%Temp%2.tmp.bat

%Temp%B.tmp

%Temp%B.tmp.bat

%Temp%C.tmp

%Temp%C.tmp.bat

%Temp%DIPFSDIO74.tmp

%Temp%mpA.tmp

%Temp%WowInitcode.dll

%Temp%~DF42A9.tmp

%Documents and Settings%All Usersjjdf32.ini

%Documents and Settings%All Userslljydf16.ini

%Documents and Settings%All Userszyndf16.ini

%Documents and Settings%All Userszyndf32.ini

%Windir%2.exe

%Windir%LastGoodsystem32driverscdaudio.sys

%Windir%setupapi.log

%Windir%systemllzjy080902.exe

%Windir%systemzjj32dla.dll

%Windir%systemzyndld32080904.dll

%Windir%systemzyndld32080904jt.dll

%Windir%systemzyndle080904.exe

%System32%5oLZ92.dll

%System32%aotoppt.dll

%System32%iroas.dll

%System32%cmbdaf.dll

%System32%comboaus.dll

%System32%conimen.exe

%System32%cupops.dll

%System32%discard.ini

%System32%dllcachecdaudio.sys

%System32%driverscdaudio.sys

%System32%driversOLD5.tmp

%System32%drivers

pywg.sys

%System32%Fserys.sys

%System32%ghjsw.dll

%System32%inserse.dll

%System32%ixplrer.exe

%System32%johandy.dll

%System32%kandaof.dll

%System32%kne12.dll

%System32%kne12.exe

%System32%lmtlsb.cfg

%System32%lmtlsb.dll

%System32%mduaey.dll

%System32%micsus.dll

%System32%pewire.dll

%System32%qxfel.dll

%System32%

ingtte.dll

%System32%

ingttek.exe

%System32%slbiopfs2.dll

%System32%slbiopfs2.nls

%System32%sufost.ini

%System32%hermaltinc.dll

%System32%TL.exe

%System32%mpjj32df0.exe

%System32%mpzydf0.exe

%System32%scfgwmijxsj.dll

%System32%scfgwmijxsj.nls

%System32%xolehlpjh.dll

%System32%xolehlpjh.nls

%System32%xsbvgzd.cfg

%System32%xsbvgzd.dll

%System32%xsbvgzd.exe

%System32%zfashl.dll

%System32%zxdtye.dll

(3) 删除病毒添加的注册表项

删除[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

un]下的dlnjj_df值。

如果在想打开IE默认关联检查,请把

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下的Check_Associations,字符串值改为yes。

如果想打开开机自动拨号联网功能,请把

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings下的EnableAutodial值改为1。

 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如何用java替换看不见的字符比如零宽空格​十六进制U+200B
 干货   2023-09-10
网页字号不能单数吗,网页字体大小为什么一般都是偶数
 干货   2023-09-06
java.lang.ArrayIndexOutOfBoundsException: 4096
 干货   2023-09-06
Noto Sans CJK SC字体下载地址
 干货   2023-08-30
window.navigator和navigator的区别是什么?
 干货   2023-08-23
js获取referer、useragent、浏览器语言
 干货   2023-08-23
oscache遇到404时会不会缓存?
 干货   2023-08-23
linux下用rm -rf *删除大量文件太慢怎么解决?
 干货   2023-08-08
刀郎新歌破世界纪录!
 娱乐   2023-08-01
js实现放大缩小页面
 干货   2023-07-31
生成式人工智能服务管理暂行办法
 百态   2023-07-31
英语学习:过去完成时The Past Perfect Tense举例说明
 干货   2023-07-31
Mysql常用sql命令语句整理
 干货   2023-07-30
科学家复活了46000年前的虫子
 探索   2023-07-29
英语学习:过去进行时The Past Continuous Tense举例说明
 干货   2023-07-28
meta name="applicable-device"告知页面适合哪种终端设备:PC端、移动端还是自适应
 干货   2023-07-28
只用css如何实现打字机特效?
 百态   2023-07-15
css怎么实现上下滚动
 干货   2023-06-28
canvas怎么画一个三角形?
 干货   2023-06-28
canvas怎么画一个椭圆形?
 干货   2023-06-28
canvas怎么画一个圆形?
 干货   2023-06-28
canvas怎么画一个正方形?
 干货   2023-06-28
中国河南省郑州市金水区蜘蛛爬虫ip大全
 干货   2023-06-22
javascript简易动态时间代码
 干货   2023-06-20
感谢员工的付出和激励的话怎么说?
 干货   2023-06-18
 
>>返回首页<<
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
© 2005- 王朝网络 版权所有