Nom:TR/KillAV.AV.1
La date de la découverte:28/03/2006
Type:Cheval de Troie
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:34.064 Octets
Somme de contrôle MD5:e021b7cbe9eb78a8c82836c0e5a4f363
Version VDF:6.34.00.105

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


L'alias:
   •  Bitdefender: Trojan.KillAV.AV


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Arrêt les applications de sécurité
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\%chaîne de caractères aléatoire%.exe
   • %SYSDIR%\%caractères-double-octet%.pif



Il se copie dans des fichiers compressés à l'emplacement suivant :
   • %SYSDIR%\%caractères-double-octet%.zip



Les fichiers suivants sont créés:

%SYSDIR%\%chaîne de caractères aléatoire%.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/KillAV.HF

%SYSDIR%\%chaîne de caractères aléatoire%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/KillAV.HE

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %chaîne de caractères aléatoire%]
   • Type = dword:00000010
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = %SYSDIR%\%chaîne de caractères aléatoire%.exe -service
   • DisplayName = %chaîne de caractères aléatoire%
   • ObjectName = LocalSystem
   • Description = %caractères-double-octet%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %chaîne de caractères aléatoire%\Security]
   • Security = %valeurs hexa%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %chaîne de caractères aléatoire%\Enum]
   • 0 = Root\\LEGACY_%chaîne de caractères aléatoire%\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%chaîne de caractères aléatoire%]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%chaîne de caractères aléatoire%\0000]
   • Service = %chaîne de caractères aléatoire%
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = %chaîne de caractères aléatoire%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%chaîne de caractères aléatoire%\0000\Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = %chaîne de caractères aléatoire%



Les valeurs des clés de registre suivantes sont supprimées:

–  [HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DcomLaunch Servers
   • MSCTS
   • CONINE
   • VMST
   • MOUST
   • KVMonXP
   • KvXP

–  [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • KVMonXP
   • KvXP

–  [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • BootExecute



Les clés de registre suivantes, y compris toutes les valeurs et les sous-clés, sont enlevées.
   • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   La nouvelle valeur:
   • ReportBootOk = dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   La nouvelle valeur:
   • ReportBootOk = 0

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   La nouvelle valeur:
   • DoReport = dword:00000000
   • ShowUI = dword:00000000

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • NOD32; Mcshield; qqkav; agentsvr; frogagent; kvxp; kvsrvxp; kregex;
      trojdie; kvcenter; kvmon; uihost; vsmon; vptray; rtvscan; Navap;
      Norton; Symantec; webscanx; vsstat; vshwin32; alogserv; avsynmgr;
      avconsol; Iparmor; KWatch; KPfwSvc; KMailMon; KavPFW; KAVStart;
      KAVSvc; KULANSyn; KPopMon; KWatchUI; KAVPlus; rfwsrv; RAVMON; rfwmain;
      RAVTIMER; RAV.exe; RavStub; Ravmond; CCENTER


La liste des services qui sont désactivés:
   • KVSrvXP_1
   • KVSrvXP
   • RsCCenter
   • SharedAccess

 Porte dérobée Le port suivant est ouvert:

– explorer.exe sur un port TCP aléatoire


Serveur de contact:
Tous les suivants:
   • http://imkill.98link.com:88/**********
   • http://imkill.98link.com:89/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Le réponse du serveur est écrit dans le fichier: %SYSDIR%\update.web; %SYSDIR%\kgstfd.t


Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Visiter un site web

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\%chaîne de caractères aléatoire%.dll

    Tous les processus suivants:
   • winlogon.exe
   • explorer.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Andrei Gherman le mardi 28 mars 2006
Description mise à jour par Andrei Gherman le jeudi 30 mars 2006

Retour . . . .