该病毒为木马下载者,并加入了许多对抗反病毒软件的模块。超级巡警在捕获该样本后,及时对样本进行了详细的分析。该病毒运行后释放病毒副本到系统文件夹下,修改系统时间,对安全软件进行映像劫持,使安全软件失效,并卸载杀毒软件的主动防御
该病毒为木马下载者,并加入了许多对抗反病毒软件的模块。超级巡警在捕获该样本后,及时对样本进行了详细的分析。该病毒运行后释放病毒副本到系统文件夹下,修改系统时间,对安全软件进行映像劫持,使安全软件失效,并卸载杀毒软件的主动防御,链接网络下载病毒,严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.KillAV.zk
病毒类型:木马
危害级别:4
感染平台:Windows
病毒大小:29,696 字节
SHA1 : 4CC554CB5BF1D72D18CA6811623323EC357D0FD2
加壳类型:UPX
开发工具:Microsoft Visual C++
病毒行为:
1、病毒运行以后释放文件:
%system32%\bopazc.exe(随机文件名)
%system32%\mttwfh.dll
%system32%\opabpc.ini
2、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%\drivers文件夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。
3、查找系统中是否存在avp.exe进程,如果存在就将系统时间修改为1900年,并使卡巴斯基失效。
4、提升病毒进程权限,遍历进程,如发现以下进程名就结束:
"GuardField.exe"、"ctfmon.exe"、"conime.exe"、"wuauclt.exe"、"spoolsv.exe"
5、创建线程,监控当前是否存在以下进程,如存在就结束进程:
DrvAnti、avp.com、avp.exe、runiep.exe、PFW.exe、FYFireWall.exe、rfwmain.exe、rfwsrv.exe、KAVPF.exe、
KPFW32.exe、nod32kui.exe、nod32.exe、Navapsvc.exe、Navapw32.exe、avconsol.exe、webscanx.exe、
drwebscd.exe、NPFMntor.exe、vsstat.exe、KPfwSvc.exe、Ras.exe、RavMonD.exe、mmsk.exe、
WoptiClean.exe、QQKav.exe、spiderui.exe、QQDoctor.exe、EGHOST.exe、360Safe.exe、iparmo.exe、
adam.exe、IceSword.exe、 360rpt.exe、360tray.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、
avgrssvc.exe、AvMonitor.exe、CCenter.exe、ccSvcHst.exe、drwadins.exe、FileDsty.exe、FTCleanerShell.exe、
HijackThis.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、drwebscd.exe、spiderml.exe、KaScrScn.SCR、
KASMain.exe、KASTask.exe、KAVDX.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、drwebupw.exe、
spidernt.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPFWSvc.exe、
KRegEx.exe、spml_set.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、
KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、KVSrvXP.exe、
KVStub.kxp、kvupload.exe、nod32krn.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、KWatch.exe、
KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、KAV32.exe、nod32krn.exe、
PFWLiveUpdate.exe、QHSET.exe、RavMon.exe、RavStub.exe、RegClean.exe、rfwcfg.exe、RfwMain.exe、
rfwsrv.exe、RsAgent.exe、Rsaupd.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、
symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、
UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、procexp.exe、OllyDBG.EXE、
OllyICE.EXE、rfwstub.exe、RegTool.exe、rfwProxy.exe、RawCopy.exe、regedit.exe、filemon.exe、regmon.exe、
AntiArp.exe、 taskmgr.exe、GFUpd.exe、GFRing3.exe、GuardField.exe、RavTask.exe、RavCopy.exe、RavXP.exe
6、添加注册表映像劫持,导致用户运行安全软件,实际运行的是病毒程序,被劫持的安全软件如下:
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、
drwadins.exe、drwebscd.exe、drwebupw.exe、EGHOST.exe、FileDsty.exe、filemon.exe、FTCleanerShell.exe、
FYFireWall.exe、GFRing3.exe、GFUpd.exe、GuardField.exe、HijackThis.exe、IceSword.exe、iparmo.exe、
Iparmor.exe、isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、
KAVDX.exe、KAVPF.exe、 KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、KRepair.com、KsLoader.exe、
KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、
KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、
mmsk.exe、Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、nod32kui.exe、 NPFMntor.exe、
OllyDBG.EXE、OllyICE.EXE、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、QQDoctor.exe、
QQKav.exe、Ras.exe、RavCopy.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RavXP.exe、
RawCopy.exe、RegClean.exe、regedit.exe、regmon.exe、RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、
rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、safelive.exe、scan32.exe、shcfg32.exe、
SmartUp.exe、spiderml.exe、spidernt.exe、spiderui.exe、spml_set.exe、SREng.EXE、symlcsvc.exe、
SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、
UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、
WoptiClean.exe
7、添加注册表项创建服务,加载驱动beep.sys,驱动的作用是使主动防御失效。
8、下载文件:http://www.ir***.com/css.txt。
根据该文件下载并运行以下病毒:
http://soft.hoh***.com/adco1.exe
http://soft.hoh***.com/adco2.exe
http://soft.hoh***.com/adco3.exe
http://soft.hoh***.com/adco4.exe
http://soft.hoh***.com/adco5.exe
http://soft.hoh***.com/adco6.exe
http://soft.hoh***.com/adco7.exe
http://soft.hoh***.com/adco8.exe
http://soft.hoh***.com/adco9.exe
http://soft.hoh***.com/adco10.exe
http://soft.hoh***.com/adco11.exe
http://soft.hoh***.com/adco12.exe
http://soft.hoh***.com/adco13.exe
http://soft.hoh***.com/adco14.exe
http://soft.hoh***.com/adco15.exe
http://soft.hoh***.com/adco16.exe
http://user.hoh***.com/adco17.exe
http://user.hoh***.com/adco18.exe
http://user.hoh***.com/adco19.exe
http://user.hoh***.com/adco20.exe
http://user.hoh***.com/adco21.exe
http://user.hoh***.com/adco22.exe
http://user.hoh***.com/adco23.exe
http://user.hoh***.com/adco24.exe
http://user.hoh***.com/adco25.exe
http://user.hoh***.com/adco26.exe
http://user.hoh***.com/adco27.exe
http://user.hoh***.com/adco28.exe
http://user.hoh***.com/adco29.exe
http://user.hoh***.com/adco30.exe
http://user.hoh***.com/adco31.exe
http://user.hoh***.com/adco32.exe
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.dswlab.com/d1.html
手工清除方法:
1、结束病毒进程。打开超级巡警ToolsLoader.exe工具(此工具在超级巡警安装目录下),选择进程管理功能,终止随机名进程。
2、删除病毒生成的文件。
%system32%\bopazc.exe
%system32%\mttwfh.dll
%system32%\opabpc.ini
3、修复安全模式启动/映象劫持。打开超级巡警,点安全优化,选择系统恢复,选中修复安全模式启动/映象劫持,修复即可。
京公网安备 11010802021500号