English
Deutsch
Francais
Español
Italian
Home
Virus Info
TR/KillAV.AV.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
TR/KillAV.AV.1 - Trojan
参照
概要
詳しい説明
統計
How would you rate this information?
Worthless
Excellent
ウイルス
TR/KillAV.AV.1
発見日:
28/03/2006
タイプ
トロイの木馬
感染報告有り
いいえ
感染報告
低
感染の可能性
低
ダメージ・ポテンシャル
中
スタティック・ファイル
はい
ファイル・サイズ
34.064 バイト
MD5 チェックサム
e021b7cbe9eb78a8c82836c0e5a4f363
VDFファージョン:
6.34.00.105
- Tue, 28 Mar 2006 07:54 (GMT+1)
一般情報
感染方法
• それ自体に伝染能力はない
別名
• ビットディフェンダー(Bitdefender): Trojan.KillAV.AV
プラットフォーム/OS:
• ウインドウズ 95
• ウインドウズ 98
• ウインドウズ 98 SE
• ウインドウズ NT
• ウインドウズ ME
• ウインドウズ 2000
• ウインドウズ XP
• ウインドウズ 2003
副作用
• セキュリティ・アプリケーションを無効にします。
• 悪意ファイルを作成します。
• セキュリティの設定を低くします。
• レジストリの改変。
• サード・パーティ・コントロール
ファイル
それ自体を以下の場所にコピーします。
•
%SYSDIR%
\
%ランダムな文字列%
.exe
•
%SYSDIR%
\
%DBC(double byte characters)%
.pif
以下の場所にあるアーカイブ内にそれ自身をコピーします:
•
%SYSDIR%
\
%DBC(double byte characters)%
.zip
以下のファイルが作成されます:
–
%SYSDIR%
\
%ランダムな文字列%
.exe 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/KillAV.HF
–
%SYSDIR%
\
%ランダムな文字列%
.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。 以下のように検出されました: TR/KillAV.HE
レジストリ
以下のレジストリ・キーは、再起動後にそのサービスを読み込むために追加されたものです:
– [HKLM\SYSTEM\CurrentControlSet\Services\
%ランダムな文字列%
]
• Type = dword:00000010
• Start = dword:00000002
• ErrorControl = dword:00000001
• ImagePath =
%SYSDIR%
\
%ランダムな文字列%
.exe -service
• DisplayName =
%ランダムな文字列%
• ObjectName = LocalSystem
• Description =
%DBC(double byte characters)%
– [HKLM\SYSTEM\CurrentControlSet\Services\
%ランダムな文字列%
\Security]
• Security =
%hex値%
– [HKLM\SYSTEM\CurrentControlSet\Services\
%ランダムな文字列%
\Enum]
• 0 = Root\\LEGACY_
%ランダムな文字列%
\\0000
• Count = dword:00000001
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_
%ランダムな文字列%
]
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_
%ランダムな文字列%
\0000]
• Service =
%ランダムな文字列%
• Legacy = dword:00000001
• ConfigFlags = dword:00000000
• Class = LegacyDriver
• ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
• DeviceDesc =
%ランダムな文字列%
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_
%ランダムな文字列%
\0000\Control]
• *NewlyCreated* = dword:00000000
• ActiveService =
%ランダムな文字列%
以下のレジストリ・キーの値が消えています:
– [HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• DcomLaunch Servers
• MSCTS
• CONINE
• VMST
• MOUST
• KVMonXP
• KvXP
– [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
• KVMonXP
• KvXP
– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
• BootExecute
以下のレジストリ・キーが、中に含まれるすべての値とサブキーと一緒に消されます。
• [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
以下のレジストリ・キーは変更されます:
– [HKLM\SOFTWARE\Microsoft\Windows NT]
新しい値
• ReportBootOk = dword:00000000
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
新しい値
• ReportBootOk = 0
– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
新しい値
• DoReport = dword:00000000
• ShowUI = dword:00000000
プロセス中断
以下の文字列を含むプロセスは終了されます:
• NOD32; Mcshield; qqkav; agentsvr; frogagent; kvxp; kvsrvxp; kregex;
trojdie; kvcenter; kvmon; uihost; vsmon; vptray; rtvscan; Navap;
Norton; Symantec; webscanx; vsstat; vshwin32; alogserv; avsynmgr;
avconsol; Iparmor; KWatch; KPfwSvc; KMailMon; KavPFW; KAVStart;
KAVSvc; KULANSyn; KPopMon; KWatchUI; KAVPlus; rfwsrv; RAVMON; rfwmain;
RAVTIMER; RAV.exe; RavStub; Ravmond; CCENTER
以下のサービスは無効にされます:
• KVSrvXP_1
• KVSrvXP
• RsCCenter
• SharedAccess
バックドア
以下のポートが開かれます:
– explorer.exe 無作為に選ばれたTCPポート上に
サーバに接続します。
以下のもの:
• http://imkill.98link.com:88/**********
• http://imkill.98link.com:89/**********
結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。 サーバの回答がファイルに書き込まれます:
%SYSDIR%
\update.web;
%SYSDIR%
\kgstfd.t
以下についての情報を送ります:
• 現在のマルウェアのステータス
リモート・コントロール機能
• ダウンロード・ファイル
• 実行ファイル
• ウェブサイトを訪問します。
挿入(Injection)
– 以下のファイルをプロセスに挿入させます:
%SYSDIR%
\
%ランダムな文字列%
.dll
プロセス名:|以下のすべて:
• winlogon.exe
• explorer.exe
ファイルの詳細
ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。
簡単な説明は
ココ
にあります。.
この説明は Andrei Gherman によって Tue, 28 Mar 2006 17:36 (GMT+1) 書き込まれました。
この説明は Andrei Gherman によって Thu, 30 Mar 2006 14:23 (GMT+1) 更新されました。
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Mytob.U
Worm/Netsky.J
Worm/Mytob.AT
Worm/Mytob.AD
Worm/Klez.E
BDS/McMaggot.A
Worm/McMaggot.A
HEUR/PDF.Obfuscated
SPR/mIRC.Gen
TR/Crypt.UPKM.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
