超级巡警团队监测到恶意程序Trojan.Win32.KillAV.amx,该病毒释放副本到系统文件夹下,添加注册表自启动项,释放驱动文件beep.sys替换系统的文件,屏蔽杀毒软件主动防御,并且可对病毒进行升级更新。超级巡警团队提醒广大用户及时更新病毒库,对该程序进行有效查杀。
超级巡警团队监测到恶意程序Trojan.Win32.KillAV.amx,该病毒释放副本到系统文件夹下,添加注册表自启动项,释放驱动文件beep.sys替换系统的文件,屏蔽杀毒软件主动防御,并且可对病毒进行升级更新。超级巡警团队提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.KillAV.amx
病毒类型:木马
危害级别:3
感染平台:Windows
病毒大小:35,328字节
SHA1 : CEEB3BCB0901C2B577E382F749EF805B9BED93A5
加壳类型:UPX
开发工具:Borland Delphi
病毒行为:
1、病毒运行以后释放副本和其他病毒。
%system%\vmdetdhc.exe
%Temp%\DFJIOPS4849.tmp
%Temporary Internet Files%\Content.IE5\WP2FCTIV\down333[1].txt
2、添加注册表项,实现开机病毒自启动。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "vmdetdhc.exe"
Type: REG_SZ
Data: C:\WINDOWS\system32\vmdetdhc.exe
3、调用sfc_os.dll下的第五号函数,关闭windows文件保护,将病毒文件beep.sys复制到%system%\drivers文件
夹下替换正常的beep.sys,病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。
4、下载更新文档,该文档可对病毒实时更新,并且弹出广告窗口,干扰用户正常使用计算机。
更新文档:http://aa.9***.net:82/down333.txt
更新的病毒:http://218.22.***.43:81/466515.exe
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com/download/16.html
手工清除方法:
1、结束病毒进程。打开超级巡警,选择进程管理功能,终止DFJIOPS4849.tmp进程。
2、删除病毒生成的文件。
%system%\vmdetdhc.exe
3、删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "vmdetdhc.exe"
Type: REG_SZ
Data: C:\WINDOWS\system32\vmdetdhc.exe
京公网安备 11010802021500号