科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trojan.Win32.KillAV.ww(adfbaa.exe)分析

Trojan.Win32.KillAV.ww(adfbaa.exe)分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录

来源:论坛整理 2008年10月29日

关键字: 安全防范 病毒资料 病毒查杀

  • 评论
  • 分享微博
  • 分享邮件
病毒标签:
病毒名称: Trojan.Win32.KillAV.ww
病毒类型: 木马下载者
文件 MD5: 01322FD0B6AFE8497D429AFC8F1943F2
公开范围: 完全公开
危害等级: 4
文件长度: 9,728 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

病毒描述:
  该病毒下载者木马类,病毒运行后调用API获取系统文件夹路径,在%System32%目录
下创建病毒文件adfbaa.exe(随机病毒名),并加载创建该病毒进程,遍历进程查找是否
存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如发
现存在以上进程名则调用TerminateProcess函数强行结束以上进程,调用LoadLibraryA
函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一
个同名的文件,释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe判断进程
是否存在AVP.exe如存在则设置系统时间为1900年,添加注册表映像劫持,劫持多款安全
软件,使系统安全性降低,连接网络读取列表下载大量恶意文件到本地运行,经分析下载
的文件多为盗号木马,给用户清理带来极大的不便!

行为分析:
本地行为:

1、文件运行后会释放以下文件:

    %System32%\adfbaa.exe(随机病毒名)     39,979 字节
    %System32%\drivers\beep.sys         16,256 字节
    %System32%\drivers\babopx.sys        3,328 字节

2、创建注册表病毒服务:
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\nnlhe\DisplayName]
    注册表值: "DisplayName"
    类型: REG_SZ
    值:"nnlhe"
    描述: 服务名称

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\nnlhe\ErrorControl]
    注册表值: "ErrorControl"
    类型: REG_SZ
    值:"DWORD: 0 (0)"
    描述: 服务控制

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\nnlhe\ImagePath]
    注册表值: "ImagePath"
    类型: REG_SZ
    值:"\??\C:\DOCUME~1\a\LOCALS~1\Temp\_tmp.bat"
    描述: 服务映像文件的启动路径

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\nnlhe\Start]
    注册表值: "Start"
    类型: REG_SZ
    值:"DWORD: 3 (0x3)"
    描述: 服务的启动方式,自动

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\nnlhe\Type]
    注册表值: "Type"
    类型: REG_SZ
    值:"DWORD: 1 (0x1)"
    描述: 服务类型

3、通过注册表映像劫持多款安全软件:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    Windows NT\CurrentVersion
    \Image File Execution Options\被映像劫持的文件名称]
    注册表值: "Debugger"
    类型: REG_SZ
    字符串:"ntsd -d"

    劫持文件名列表:
    360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、
    adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、
    avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
    avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
    FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、
    HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
    isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
    KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
    KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
    KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
    KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、
    KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、    
    kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、    
    KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、    
    KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、
    MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、    
    Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、    
    nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、    
    PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、
    QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、
    RavStub.exe、RawCopy.exe、RegClean.exe、RegTool.exe、
    rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、
    rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、
    safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、
    shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
    SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
    UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
    UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
    webscanx.exe、WinDbg.exe、WoptiClean.exe
         
4、遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、
  spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上
  进程。

5、调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的
  beep.sys文件删除,并创建一个同名的文件,释放驱动文件babopx.sys恢复SSDT使
  卡巴主动防御失效。

6、衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年,添加
  注册表映像劫持,劫持多款安全软件,使系统安全性降低,连接网络读取列表下载大
  量恶意文件到本地运行。

网络行为:

    协议:TCP
    端口:80
    连接服务器名:http://www.ir***.com/css.txt
    IP地址:121.10.115.***
    描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
    [DOWN]
    1=http://uiik.ur***.com/down/new1.exe
    2=http://uiik.ur***.com/down/new2.exe
    3=http://uiik.ur***.com/down/new3.exe
    4=http://uiik.ur***.com/down/new4.exe
    5=http://uiik.ur***.com/down/new5.exe
    6=http://uiik.ur***.com/down/new6.exe
    7=http://uiik.ur***.com/down/new7.exe
    8=http://uiik.ur***.com/down/new8.exe
    9=http://uiik.ur***.com/down/new9.exe
    10=http://uiik.ur***.com/down/new10.exe
    11=http://uiik.ur***.com/down/new11.exe
    12=http://uiik.ur***.com/down/new12.exe
    13=http://uiik.ur***.com/down/new13.exe
    14=http://uiik.ur***.com/down/new14.exe
    15=http://uiik.ur***.com/down/new15.exe
    16=http://uiik.ur***.com/down/new16.exe
    17=http://nxxv.ur***.com/down/new17.exe
    18=http://nxxv.ur***.com/down/new18.exe
    19=http://nxxv.ur***.com/down/new19.exe
    20=http://nxxv.ur***.com/down/new20.exe
    21=http://nxxv.ur***.com/down/new21.exe
    22=http://nxxv.ur***.com/down/new22.exe
    23=http://nxxv.ur***.com/down/new23.exe
    24=http://nxxv.ur***.com/down/new24.exe
    25=http://nxxv.ur***.com/down/new25.exe
    26=http://nxxv.ur***.com/down/new26.exe
    27=http://nxxv.ur***.com/down/new27.exe
    28=http://nxxv.ur***.com/down/new28.exe
    29=http://nxxv.ur***.com/down/new29.exe
    30=http://nxxv.ur***.com/down/new30.exe
    31=http://nxxv.ur***.com/down/new31.exe
    32=http://nxxv.ur***.com/down/new32.exe
    33=http://nxxv.ur***.com/down/new33.exe
    34=http://nxxv.ur***.com/down/new34.exe
   
清除方案:

手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
  (1)使用ATOOL进程管理结束病毒进程。
  (2)强行删除病毒下载的大量病毒文件:
    %System32%\adfbaa.exe(随机病毒名)     
    %System32%\drivers\beep.sys
    %System32%\drivers\babopx.sys
    (注:该病毒下载的病毒列表可能会随时变化)
  (3)删除病毒创建的注册表项:
    [HKEY_LOCAL_MACHINE\SYSTEM
    \CurrentControlSet\Services]
    注册表值: "nnlhe"
    删除nnlhe键值
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows NT\CurrentVersion
    \Image File Execution Options\被映像劫持的文件名称]
    删除Image File Execution Options键值下所有被映像劫持
    的文件名称
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章