Vollständige Virenbeschreibung

Name:	TR/KillAV.AV.1
Entdeckt am:	28/03/2006
Art:	Trojan
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	34.064 Bytes
MD5 Prüfsumme:	e021b7cbe9eb78a8c82836c0e5a4f363
VDF Version:	6.34.00.105

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Bitdefender: Trojan.KillAV.AV

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt schädliche Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\%zufällige Buchstabenkombination%.exe
   • %SYSDIR%\%Double-Byte-Zeichen%.pif

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
   • %SYSDIR%\%Double-Byte-Zeichen%.zip

Es werden folgende Dateien erstellt:

– %SYSDIR%\%zufällige Buchstabenkombination%.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/KillAV.HF

– %SYSDIR%\%zufällige Buchstabenkombination%.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/KillAV.HE

Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%]
   • Type = dword:00000010
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = %SYSDIR%\%zufällige Buchstabenkombination%.exe -service
   • DisplayName = %zufällige Buchstabenkombination%
   • ObjectName = LocalSystem
   • Description = %Double-Byte-Zeichen%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%\Security]
   • Security = %Hex Werte%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %zufällige Buchstabenkombination%\Enum]
   • 0 = Root\\LEGACY_%zufällige Buchstabenkombination%\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%zufällige Buchstabenkombination%]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%zufällige Buchstabenkombination%\0000]
   • Service = %zufällige Buchstabenkombination%
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = %zufällige Buchstabenkombination%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%zufällige Buchstabenkombination%\0000\Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = %zufällige Buchstabenkombination%

Die Werte der folgenden Registry keys werden gelöscht:

– [HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DcomLaunch Servers
   • MSCTS
   • CONINE
   • VMST
   • MOUST
   • KVMonXP
   • KvXP

– [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • KVMonXP
   • KvXP

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • BootExecute

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Neuer Wert:
   • ReportBootOk = dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • ReportBootOk = 0

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Neuer Wert:
   • DoReport = dword:00000000
   • ShowUI = dword:00000000

Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • NOD32; Mcshield; qqkav; agentsvr; frogagent; kvxp; kvsrvxp; kregex;
      trojdie; kvcenter; kvmon; uihost; vsmon; vptray; rtvscan; Navap;
      Norton; Symantec; webscanx; vsstat; vshwin32; alogserv; avsynmgr;
      avconsol; Iparmor; KWatch; KPfwSvc; KMailMon; KavPFW; KAVStart;
      KAVSvc; KULANSyn; KPopMon; KWatchUI; KAVPlus; rfwsrv; RAVMON; rfwmain;
      RAVTIMER; RAV.exe; RavStub; Ravmond; CCENTER

Liste der Dienste die beendet werden:
   • KVSrvXP_1
   • KVSrvXP
   • RsCCenter
   • SharedAccess

Hintertür Der folgende Port wird geöffnet:

– explorer.exe an einem zufälligen TCP port

Kontaktiert Server:
Alle der folgenden:
   • http://imkill.98link.com:88/**********
   • http://imkill.98link.com:89/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\update.web; %SYSDIR%\kgstfd.t

Sende Informationen über:
    • Aktueller Malware Status

Möglichkeiten der Fernkontrolle:
    • Datei herunterladen
    • Datei ausführen
    • Besuch einer Webseite

Injektion – Es injiziert folgende Datei in einen Prozess: %SYSDIR%\%zufällige Buchstabenkombination%.dll

    Alle der folgenden Prozesse:
   • winlogon.exe
   • explorer.exe

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 28. März 2006
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 30. März 2006

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools