Trojan.Win32.KillAV.ge木马样本分析

　　病毒名称： Trojan.Win32.KillAV.ge

　　病毒类型： 木马

　　文件MD5： C3FC6956791014DA146FAD4221BE8782

　　文件长度： 20,704 字节

　　感染系统： Windows98以上版本

　　开发工具： Borland Delphi 6.0 - 7.0

　　加壳类型： Upack 0.3.9 beta2s

　　病毒描述：

　　该病毒属木马类，病毒运行后遍历进程，如有指定反病毒软件进程则关闭其进程，从而降低系统安全性。

　　行为分析：

　　1、病毒运行后遍历进程，如有以下反病毒软件进程则关闭其进程，从而降低系统安全性：

　　Kvsrvxp.exe

　　360tray.exe

　　RavMon.exe

　　Kavstart.exe

　　Avp.exe

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

　　%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

　　%Windir%\ WINDODWS所在目录

　　%DriveLetter%\ 逻辑驱动器根目录

　　%ProgramFiles%\ 系统程序默认安装目录

　　%HomeDrive% = C:\ 当前启动的系统的所在分区

　　%Documents and Settings%\ 当前用户文档根目录

　　代码分析：