Имя:TR/KillAV.AV.1
Обнаружен:28/03/2006
Вид:Троянская программа
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:34.064 байт.
Контрольная сумма MD5:e021b7cbe9eb78a8c82836c0e5a4f363
Версия VDF:6.34.00.105

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдоним (alias):
   •  Bitdefender: Trojan.KillAV.AV


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Создает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %SYSDIR%\%случайная буквенная комбинация%.exe
   • %SYSDIR%\%Двухбайтовый символ%.pif



Создается архив со своей собственной копией внутри:
   • %SYSDIR%\%Двухбайтовый символ%.zip



Создаются следующие файлы:

%SYSDIR%\%случайная буквенная комбинация%.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/KillAV.HF

%SYSDIR%\%случайная буквенная комбинация%.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/KillAV.HE

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %случайная буквенная комбинация%]
   • Type = dword:00000010
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = %SYSDIR%\%случайная буквенная комбинация%.exe -service
   • DisplayName = %случайная буквенная комбинация%
   • ObjectName = LocalSystem
   • Description = %Двухбайтовый символ%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %случайная буквенная комбинация%\
   Security]
   • Security = %шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %случайная буквенная комбинация%\
   Enum]
   • 0 = Root\\LEGACY_%случайная буквенная комбинация%\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%случайная буквенная комбинация%]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%случайная буквенная комбинация%\
   0000]
   • Service = %случайная буквенная комбинация%
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = %случайная буквенная комбинация%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%случайная буквенная комбинация%\
   0000\Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = %случайная буквенная комбинация%



Удаляются значения следующих ключей реестра:

–  [HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DcomLaunch Servers
   • MSCTS
   • CONINE
   • VMST
   • MOUST
   • KVMonXP
   • KvXP

–  [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • KVMonXP
   • KvXP

–  [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • BootExecute



Удаляются все значения следующих ключей реестра и их подключей:
   • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Новое значение:
   • ReportBootOk = dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • ReportBootOk = 0

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Новое значение:
   • DoReport = dword:00000000
   • ShowUI = dword:00000000

 Завершение процесса Завершение процессов со следующими последовательностями в именах:
   • NOD32; Mcshield; qqkav; agentsvr; frogagent; kvxp; kvsrvxp; kregex;
      trojdie; kvcenter; kvmon; uihost; vsmon; vptray; rtvscan; Navap;
      Norton; Symantec; webscanx; vsstat; vshwin32; alogserv; avsynmgr;
      avconsol; Iparmor; KWatch; KPfwSvc; KMailMon; KavPFW; KAVStart;
      KAVSvc; KULANSyn; KPopMon; KWatchUI; KAVPlus; rfwsrv; RAVMON; rfwmain;
      RAVTIMER; RAV.exe; RavStub; Ravmond; CCENTER


Список завершаемых служб:
   • KVSrvXP_1
   • KVSrvXP
   • RsCCenter
   • SharedAccess

 Backdoor Открывается порт:

– explorer.exe к произвольному TCP порту


Устанавливает соединение с сервером
Все последующие:
   • http://imkill.98link.com:88/**********
   • http://imkill.98link.com:89/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Ответ сервера записывается в следующий файл: %SYSDIR%\update.web; %SYSDIR%\kgstfd.t


Передает информацию о:
    • Текущий malware статус.


Возможности удаленного контроля:
    • Загрузить файл
    • Запустить файл
    • Посещение веб-страницы

 Инфицирование –  Следующий файл вставляется в процесс: %SYSDIR%\%случайная буквенная комбинация%.dll

    Все следующие процессы:
   • winlogon.exe
   • explorer.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) вторник, 28 марта 2006 г.
Описание обновил Andrei Gherman в(о) четверг, 30 марта 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.