Win32.Troj.Killav.de

病毒别名：

处理时间：

威胁级别：★★

中文名称：潜伏者

病毒类型：木马

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

delphi编写,upx压缩

传染条件:

用户误运行

发作条件:

结束常见反病毒软件进程,阻止反病毒软件更新,阻止用户浏览安全网站

系统修改:

1,将自己注册为系统服务.

2,添加注册表键值:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"reg32" = "%windir%

eg32.exe"

3,修改注册表键值:

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

"Start Page" = "http:/ /allsearcher.info/"

"Local Page" = "http:/ /allsearcher.info/"

"Default_Page_URL" = "http:/ /allsearcher.info/"

4,删除键值:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Key2

ControlPanel

5,用0字节文件覆盖下列文件:

%Windows%hosts

c:system32driversetchosts

6,结束带有下列字符串的进程:

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVPUPD.EXE

AVWUPD32.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

loadclean.exe

loader.exe

LUALL.EXE

MCUPDATE.EXE

NUPGRADE.EXE

runddl.exe

serve.exe

UPDATE.EXE

发作现象:

主页被修改为:http:/ /allsearcher.info/,不能访问常见安全网站,反病毒软件无法运行.

特别说明: