Trojan.Win32.KillAV.amf（llzjy080902.exe、zjj32dla.dll）分析

　　该病毒中文名称为“AV终结者”，属于木马类。病毒运行后，首先在%Documents and Settings%All Users目录下衍生病毒配置文件lljydf16.ini，然后根据lljydf16.ini内容在%Windir%system下衍生llzjy080902.exe、zjj32dla.dll；并在逻辑盘根目录下释放AutoRun.inf、auto.exe，以便于利用移动设备进行传播；在%HomeDrive%下衍生dfDelmlljy.bat，用于在该病毒执行完自身代码后，删除该病毒文件和自身。新增注册表项，添加启动项，禁用IE默认关联检查，关闭开机自动拨号联网功能。利用命令行ntsd命令结束相关安全软件进程。暗中调用iexplore.exe加载病毒文件zjj32dla.dll读取下载信息，连接网络，下载大量病毒文件并在本机运行。

　　行为分析-本地行为

　　1、文件运行后会释放以下文件

%Documents and Settings%All Userslljydf16.ini 145字节
%Windir%systemllzjy080902.exe 30,796 字节
%Windir%systemzjj32dla.dll 45,056字节

　　2、 新增注册表

　　[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

　　注册表值： "Check_Associations"

　　类型： REG_SZ

　　字符串： "no"

　　描述： 禁用IE默认关联检查

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]

　　注册表值： "EnableAutodial"

　　类型： DWORD

　　字符串： "0"

　　描述： 关闭开机自动拨号联网功能

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerrun]

　　注册表值： "dlnjj_df "

　　类型： REG_SZ

　　字符串： " C:WINDOWSsystemllzjy080902.exe "

　描述： 添加启动项，当所有用户重新登陆启动系统时运行病毒文件

　　3、 利用ntsd命令结束相关安全软件进程如kvxp.kxp、360tray.exe。

　　4、 lljydf16.ini内容：

[mydown]
old_exe=
old_dll32=
ver=080902
fn_exe=C:WINDOWSsystemllzjy080902.exe
reg_start=dlnjj_df
fn_dll=C:WINDOWSsystemzjj32dla.dll
5、 AutoRun.inf内容：
[AutoRun]
shellopen=(&O)
shellopenCommand=auto.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexplorecommand=auto.exe

　　6、 在%HomeDrive%下衍生病毒批处理文件dfDelmlljy.bat，用于在该病毒执行完自身代码后，删除该病毒文件和自身。

　　行为分析-网络行为

　　1、 暗中调用iexplore.exe进程加载病毒文件zjj32dla.dll，从而读取病毒下载信息。

　　2、 连接网络，通过调用函数urldownloadtofilea下载大量病毒文件，并在本机运行。

　　协议：TCP

　　域名：http://qq-****.com.cn/youxi

　　端口：80

http://qq-****.com.cn/youxi/1.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tctu
http://qq-****.com.cn/youxi/2.exe 病毒名：Trojan-GameThief.Win32.Magania.ablu
http://qq-****.com.cn/youxi/3.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tctl
http://qq-****.com.cn/youxi/4.exe 病毒名：Worm.Win32.AutoRun.mkd
http://qq-****.com.cn/youxi/5.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcxy
http://qq-****.com.cn/youxi/6.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tapu
http://qq-****.com.cn/youxi/7.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/8.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyh
http://qq-****.com.cn/youxi/9.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyb
http://qq-****.com.cn/youxi/11.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcya
http://qq-****.com.cn/youxi/12.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/13.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcqi
http://qq-****.com.cn/youxi/14.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.synr
http://qq-****.com.cn/youxi/15.exe 病毒名：Trojan-GameThief.Win32.Magania.abmz
http://qq-****.com.cn/youxi/16.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyj
http://qq-****.com.cn/youxi/17.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyb
http://qq-****.com.cn/youxi/18.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyz
http://qq-****.com.cn/youxi/19.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcye
http://qq-****.com.cn/youxi/21.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.sxxa
http://qq-****.com.cn/youxi/22.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcxv
http://qq-****.com.cn/youxi/23.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.sxtn
http://qq-****.com.cn/youxi/24.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/25.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyi
http://qq-****.com.cn/youxi/26.exe 病毒名：Trojan.Win32.Kilva.ew
http://qq-****.com.cn/youxi/27.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.sxae注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。