该病毒为木马下载者,并加入了许多对抗反病毒软件的模块。超级巡警在捕获该样本后,及时对样本进行了详细的分析。该病毒运行后释放病毒副本到系统文件夹下,修改系统时间,对安全软件进行映像劫持,使安全软件失效,并卸载杀毒软件的主动防御,链接网络下载病毒,严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析: 病毒标签: 病毒名称:Trojan.Win32.KillAV.zk 病毒类型:木马 危害级别:4 感染平台:Windows 病毒大小:29,696 字节 SHA1 : 4CC554CB5BF1D72D18CA6811623323EC357D0FD2 加壳类型:UPX 开发工具:Microsoft Visual C++ 病毒行为: 1、病毒运行以后释放文件:
%system32%\bopazc.exe(随机文件名) %system32%\mttwfh.dll %system32%\opabpc.ini 2、调用
sfc_os.dll下的第五号函数,关闭
windows文件保护,将病毒文件
beep.sys复制到
%system%\drivers文件夹下替换正常的
beep.sys,病毒
文件beep.sys的作用是屏蔽杀毒软件的主动防御。
3、查找系统中是否存在
avp.exe进程,如果存在就将系统时间修改为
1900年,并使卡巴斯基失效。
4、提升病毒进程权限,遍历进程,如发现以下进程名就结束:
"GuardField.exe"、"ctfmon.exe"、"conime.exe"、"wuauclt.exe"、"spoolsv.exe"
5、创建线程,监控当前是否存在以下进程,如存在就结束进程:
DrvAnti、avp.com、avp.exe、runiep.exe、PFW.exe、FYFireWall.exe、rfwmain.exe、rfwsrv.exe、KAVPF.exe、 KPFW32.exe、nod32kui.exe、nod32.exe、Navapsvc.exe、Navapw32.exe、avconsol.exe、webscanx.exe、 drwebscd.exe、NPFMntor.exe、vsstat.exe、KPfwSvc.exe、Ras.exe、RavMonD.exe、mmsk.exe、 WoptiClean.exe、QQKav.exe、spiderui.exe、QQDoctor.exe、EGHOST.exe、360Safe.exe、iparmo.exe、 adam.exe、IceSword.exe、 360rpt.exe、360tray.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、 avgrssvc.exe、AvMonitor.exe、CCenter.exe、ccSvcHst.exe、drwadins.exe、FileDsty.exe、FTCleanerShell.exe、 HijackThis.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、drwebscd.exe、spiderml.exe、KaScrScn.SCR、 KASMain.exe、KASTask.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、drwebupw.exe、 spidernt.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPFWSvc.exe、 KRegEx.exe、spml_set.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、 KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、 KVStub.kxp、kvupload.exe、nod32krn.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、KWatch.exe、 KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、KAV32.exe、nod32krn.exe、 PFWLiveUpdate.exe、QHSET.exe、RavMon.exe、RavStub.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、 rfwsrv.exe、RsAgent.exe、Rsaupd.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、 symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、 UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、procexp.exe、OllyDBG.EXE、 OllyICE.EXE、rfwstub.exe、RegTool.exe、rfwProxy.exe、RawCopy.exe、regedit.exe、filemon.exe、regmon.exe、 AntiArp.exe、 taskmgr.exe、GFUpd.exe、GFRing3.exe、GuardField.exe、RavTask.exe、RavCopy.exe、RavXP.exe 6、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、autoruns.exe、 avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、 drwadins.exe、drwebscd.exe、drwebupw.exe、EGHOST.exe、FileDsty.exe、filemon.exe、FTCleanerShell.exe、 FYFireWall.exe、GFRing3.exe、GFUpd.exe、GuardField.exe、HijackThis.exe、IceSword.exe、iparmo.exe、 Iparmor.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、 KAVDX.exe、KAVPF.exe、 KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、 KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、KRepair.com、KsLoader.exe、 KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、 KvReport.kxp、KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、 KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、 mmsk.exe、Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、nod32kui.exe、 NPFMntor.exe、 OllyDBG.EXE、OllyICE.EXE、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、QQDoctor.exe、 QQKav.exe、Ras.exe、RavCopy.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RavXP.exe、 RawCopy.exe、RegClean.exe、regedit.exe、regmon.exe、RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、 rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、shcfg32.exe、 SmartUp.exe、spiderml.exe、spidernt.exe、spiderui.exe、spml_set.exe、SREng.EXE、symlcsvc.exe、 SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、 UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、 WoptiClean.exe 7、添加注册表项创建服务,加载驱动
beep.sys,驱动的作用是使主动防御失效。
8、下载文件:
http://www.ir***.com/css.txt。 根据该文件下载并运行以下病毒: http://soft.hoh***.com/adco1.exe http://soft.hoh***.com/adco2.exe http://soft.hoh***.com/adco3.exe http://soft.hoh***.com/adco4.exe http://soft.hoh***.com/adco5.exe http://soft.hoh***.com/adco6.exe http://soft.hoh***.com/adco7.exe http://soft.hoh***.com/adco8.exe http://soft.hoh***.com/adco9.exe http://soft.hoh***.com/adco10.exe http://soft.hoh***.com/adco11.exe http://soft.hoh***.com/adco12.exe http://soft.hoh***.com/adco13.exe http://soft.hoh***.com/adco14.exe http://soft.hoh***.com/adco15.exe http://soft.hoh***.com/adco16.exe http://user.hoh***.com/adco17.exe http://user.hoh***.com/adco18.exe http://user.hoh***.com/adco19.exe http://user.hoh***.com/adco20.exe http://user.hoh***.com/adco21.exe http://user.hoh***.com/adco22.exe http://user.hoh***.com/adco23.exe http://user.hoh***.com/adco24.exe http://user.hoh***.com/adco25.exe http://user.hoh***.com/adco26.exe http://user.hoh***.com/adco27.exe http://user.hoh***.com/adco28.exe http://user.hoh***.com/adco29.exe http://user.hoh***.com/adco30.exe http://user.hoh***.com/adco31.exe http://user.hoh***.com/adco32.exe二、解决方案 推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。 超级巡警下载地址:http://www.dswlab.com/d1.html 手工清除方法: 1、结束病毒进程。打开超级巡警ToolsLoader.exe工具(此工具在超级巡警安装目录下),选择进程管理功能,终止随机名进程。 2、删除病毒生成的文件。 %system32%\bopazc.exe %system32%\mttwfh.dll %system32%\opabpc.ini 3、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统恢复,选中修复安全模式启动/映象劫持,修复即可。
您的位置: