病毒標籤
病毒名稱: Trojan.Win32.KillAV.ww (AV終結者)
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
行為分析
本地行為
1、檔案運行後會釋放以下檔案:
%System32%\adfbaa.exe(隨機病毒名) 39,979 位元組
%System32%\drivers\beep.sys 16,256 位元組
%System32%\drivers\babopx.sys 3,328 位元組
2、創建註冊表病毒服務:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\nnlhe\DisplayName]
註冊表值: "DisplayName"
類型: REG_SZ
值:"nnlhe"
描述: 服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\nnlhe\ErrorControl]
註冊表值: "ErrorControl"
類型: REG_SZ
值:"DWORD: 0 (0)"
描述: 服務控制
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\nnlhe\ImagePath]
註冊表值: "ImagePath"
類型: REG_SZ
值:"\??\C:\DOCUME~1\a\LOCALS~1\Temp\_tmp.bat"
描述: 服務映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\nnlhe\Start]
註冊表值: "Start"
類型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服務的啟動方式,自動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\nnlhe\Type]
註冊表值: "Type"
類型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服務類型
3、通過註冊表映像劫持多款安全軟體:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
Windows NT\CurrentVersion
\Image File Execution Options\被映像劫持的檔案名稱稱]
註冊表值: "Debugger"
類型: REG_SZ
字元串:"ntsd -d"
劫持檔案名稱列表:
360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、
adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、
HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、
KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、
kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、
KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、
KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、
MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、
Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、
nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、
PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、
QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、
RavStub.exe、RawCopy.exe、RegClean.exe、RegTool.exe、
rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、
rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、
safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、
shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
webscanx.exe、WinDbg.exe、WoptiClean.exe
4、遍歷進程查找是否存在以下進程名:GuardField.exe、conime.exe、wuauclt.exe、
spoolsv.exe;如發現存在以上進程名則調用TerminateProcess函式強行結束以上
進程。
5、調用LoadLibraryA函式載入SFC.DLL檔案。將%System32%\drivers\目錄下的
beep.sys檔案刪除,並創建一個同名的檔案,釋放驅動檔案babopx.sys恢復SSDT使
卡巴主動防禦失效。
6、衍生的adfbaa.exe判斷進程是否存在AVP.exe如存在則設定系統時間為1900年,添加
註冊表映像劫持,劫持多款安全軟體,使系統安全性降低,連線網路讀取列表下載大
量惡意檔案到本地運行。
網路行為
協定:TCP
連線埠:80
連線伺服器名:http://www.ir***.com/css.txt
IP位址:121.10.115.***
描述:連線伺服器讀取TXT列表內容下載病毒,讀取的列表內容:
[DOWN]
1=http://uiik.ur***.com/down/new1.exe
2=http://uiik.ur***.com/down/new2.exe
3=http://uiik.ur***.com/down/new3.exe
4=http://uiik.ur***.com/down/new4.exe
5=http://uiik.ur***.com/down/new5.exe
6=http://uiik.ur***.com/down/new6.exe
7=http://uiik.ur***.com/down/new7.exe
8=http://uiik.ur***.com/down/new8.exe
9=http://uiik.ur***.com/down/new9.exe
10=http://uiik.ur***.com/down/new10.exe
11=http://uiik.ur***.com/down/new11.exe
12=http://uiik.ur***.com/down/new12.exe
13=http://uiik.ur***.com/down/new13.exe
14=http://uiik.ur***.com/down/new14.exe
15=http://uiik.ur***.com/down/new15.exe
16=http://uiik.ur***.com/down/new16.exe
17=http://nxxv.ur***.com/down/new17.exe
18=http://nxxv.ur***.com/down/new18.exe
19=http://nxxv.ur***.com/down/new19.exe
20=http://nxxv.ur***.com/down/new20.exe
21=http://nxxv.ur***.com/down/new21.exe
22=http://nxxv.ur***.com/down/new22.exe
23=http://nxxv.ur***.com/down/new23.exe
24=http://nxxv.ur***.com/down/new24.exe
25=http://nxxv.ur***.com/down/new25.exe
26=http://nxxv.ur***.com/down/new26.exe
27=http://nxxv.ur***.com/down/new27.exe
28=http://nxxv.ur***.com/down/new28.exe
29=http://nxxv.ur***.com/down/new29.exe
30=http://nxxv.ur***.com/down/new30.exe
31=http://nxxv.ur***.com/down/new31.exe
32=http://nxxv.ur***.com/down/new32.exe
33=http://nxxv.ur***.com/down/new33.exe
34=http://nxxv.ur***.com/down/new34.exe
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的
位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
防毒軟體
使用安天防線2008可徹底清除此病毒(推薦)。
手工清除
手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL進程管理結束病毒進程。
(2)強行刪除病毒下載的大量病毒檔案:
%System32%\adfbaa.exe(隨機病毒名)
%System32%\drivers\beep.sys
%System32%\drivers\babopx.sys
(註:該病毒下載的病毒列表可能會隨時變化)
(3)刪除病毒創建的註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services]
註冊表值: "nnlhe"
刪除nnlhe鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options\被映像劫持的檔案名稱稱]
刪除Image File Execution Options鍵值下所有被映像劫持
的檔案名稱稱
