Nome del virus:TR/KillAV.AV.1
Scoperto:28/03/2006
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:34.064 Byte
Somma di controllo MD5:e021b7cbe9eb78a8c82836c0e5a4f363
Versione VDF:6.34.00.105

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Bitdefender: Trojan.KillAV.AV


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\%stringa di caratteri casuale%.exe
   • %SYSDIR%\%caratteri double-byte%.pif



Copia se stesso dentro un archivio nella seguente posizione:
   • %SYSDIR%\%caratteri double-byte%.zip



Vengono creati i seguenti file:

%SYSDIR%\%stringa di caratteri casuale%.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/KillAV.HF

%SYSDIR%\%stringa di caratteri casuale%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/KillAV.HE

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%]
   • Type = dword:00000010
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = %SYSDIR%\%stringa di caratteri casuale%.exe -service
   • DisplayName = %stringa di caratteri casuale%
   • ObjectName = LocalSystem
   • Description = %caratteri double-byte%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%\Security]
   • Security = %valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %stringa di caratteri casuale%\Enum]
   • 0 = Root\\LEGACY_%stringa di caratteri casuale%\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%stringa di caratteri casuale%]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%stringa di caratteri casuale%\0000]
   • Service = %stringa di caratteri casuale%
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = %stringa di caratteri casuale%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%stringa di caratteri casuale%\0000\Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = %stringa di caratteri casuale%



I valori delle seguenti chiavi di registro vengono rimossi:

–  [HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DcomLaunch Servers
   • MSCTS
   • CONINE
   • VMST
   • MOUST
   • KVMonXP
   • KvXP

–  [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • KVMonXP
   • KvXP

–  [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • BootExecute



Le seguenti chiavi di registro che includono tutti i valori e le sottochiavi, vengono rimosse:
   • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Nuovo valore:
   • ReportBootOk = dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • ReportBootOk = 0

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Nuovo valore:
   • DoReport = dword:00000000
   • ShowUI = dword:00000000

 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • NOD32; Mcshield; qqkav; agentsvr; frogagent; kvxp; kvsrvxp; kregex;
      trojdie; kvcenter; kvmon; uihost; vsmon; vptray; rtvscan; Navap;
      Norton; Symantec; webscanx; vsstat; vshwin32; alogserv; avsynmgr;
      avconsol; Iparmor; KWatch; KPfwSvc; KMailMon; KavPFW; KAVStart;
      KAVSvc; KULANSyn; KPopMon; KWatchUI; KAVPlus; rfwsrv; RAVMON; rfwmain;
      RAVTIMER; RAV.exe; RavStub; Ravmond; CCENTER


I seguenti servizi vengono disattivati:
   • KVSrvXP_1
   • KVSrvXP
   • RsCCenter
   • SharedAccess

 Backdoor Viene aperta la seguente porta:

– explorer.exe su una porta TCP casuale


Contatta il server:
Tutti i seguenti:
   • http://imkill.98link.com:88/**********
   • http://imkill.98link.com:89/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. La risposta dei server è scritta nel file: %SYSDIR%\update.web; %SYSDIR%\kgstfd.t


Invia informazioni riguardanti:
    • Stato corrente del malware


Capacità di controllo remoto:
    • Download di file
    • Eseguire file
    • Visitare un sito web

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\%stringa di caratteri casuale%.dll

    Tutti i seguenti processi:
   • winlogon.exe
   • explorer.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su martedì 28 marzo 2006
Descrizione aggiornata da Andrei Gherman su giovedì 30 marzo 2006

Indietro . . . .