Trojan.Win32.KillAV.amf該病毒中文名稱為“AV終結者”,屬於木馬類。病毒運行後,首先在%Documents and Settings%\All Users目錄下衍生病毒配置檔案lljydf16.ini,然後根據lljydf16.ini內容在%Windir%\system下衍生llzjy080902.exe、zjj32dla.dll;並在邏輯盤根目錄下釋放AutoRun.inf、auto.exe,以便於利用移動設備進行傳播;在%HomeDrive%下衍生dfDelmlljy.bat,用於在該病毒執行完自身代碼後,刪除該病毒檔案和自身。新增註冊表項,添加啟動項,禁用IE默認關聯檢查,關閉開機自動撥號聯網功能。
基本介紹
- 中文名:AV終結者
- 外文名:Trojan.Win32.KillAV.amf
- 類型:木馬病毒
- 大小:30796kb
- 影響系統:win98以上
- 危害等級:4級
病毒標籤,病毒描述,行為分析,本地行為,網路行為,注,清除方案,
病毒標籤
檔案 MD5: BCE3B1355C6076145E9E8AD60A0C27D3
公開範圍: 完全公開
感染系統: Windows98以上版本
開發工具: Borand Delphi
加殼類型: WinUpack 0.39
病毒描述
利用命令行ntsd命令結束相關安全軟體進程。暗中調用iexplore.exe載入病毒檔案zjj32dla.dll讀取下載信息,連線網路,下載大量病毒檔案並在本機運行。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%Documents and Settings%\All Users\lljydf16.ini 145位元組
%Windir%\system\llzjy080902.exe 30,796 位元組
%Windir%\system\zjj32dla.dll 45,056位元組
2、 新增註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
註冊表值: "Check_Associations"
類型: REG_SZ
字元串: "no"
描述: 禁用IE默認關聯檢查
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
註冊表值: "EnableAutodial"
類型: DWORD
字元串: "0"
描述: 關閉開機自動撥號聯網功能
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
註冊表值: "dlnjj_df "
類型: REG_SZ
字元串: " C:\WINDOWS\system\llzjy080902.exe "
描述: 添加啟動項,當所有用戶重新登入啟動系統時運行病毒檔案
3、 利用ntsd命令結束相關安全軟體進程如kvxp.kxp、360tray.exe。
4、 lljydf16.ini內容:
[mydown]
old_exe=
old_dll32=
ver=080902
fn_exe=C:\WINDOWS\system\llzjy080902.exe
reg_start=dlnjj_df
fn_dll=C:\WINDOWS\system\zjj32dla.dll
5、 AutoRun.inf內容:
[AutoRun]
shell\open=(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\command=auto.exe
6、在%HomeDrive%下衍生病毒批處理檔案dfDelmlljy.bat,用於在該病毒執行完自身代碼後,刪除該病毒檔案和自身。
網路行為
1、 暗中調用iexplore.exe進程載入病毒檔案zjj32dla.dll,從而讀取病毒下載信息。
2、 連線網路,通過調用函式urldownloadtofilea下載大量病毒檔案,並在本機運行。
協定:TCP
域名:http://qq-****.com.cn/youxi
連線埠:80
http://qq-****.com.cn/youxi/1.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tctu
http://qq-****.com.cn/youxi/2.exe 病毒名:Trojan-GameThief.Win32.Magania.ablu
http://qq-****.com.cn/youxi/3.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tctl
http://qq-****.com.cn/youxi/4.exe 病毒名:Worm.Win32.AutoRun.mkd
http://qq-****.com.cn/youxi/5.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcxy
http://qq-****.com.cn/youxi/6.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tapu
http://qq-****.com.cn/youxi/7.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/8.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyh
http://qq-****.com.cn/youxi/9.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyb
http://qq-****.com.cn/youxi/11.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcya
http://qq-****.com.cn/youxi/12.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/13.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcqi
http://qq-****.com.cn/youxi/14.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.synr
http://qq-****.com.cn/youxi/15.exe 病毒名:Trojan-GameThief.Win32.Magania.abmz
http://qq-****.com.cn/youxi/16.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyj
http://qq-****.com.cn/youxi/17.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyb
http://qq-****.com.cn/youxi/18.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyz
http://qq-****.com.cn/youxi/19.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcye
http://qq-****.com.cn/youxi/21.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.sxxa
http://qq-****.com.cn/youxi/22.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcxv
http://qq-****.com.cn/youxi/23.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.sxtn
http://qq-****.com.cn/youxi/24.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/25.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.tcyi
http://qq-****.com.cn/youxi/26.exe 病毒名:Trojan.Win32.Kilva.ew
http://qq-****.com.cn/youxi/27.exe 病毒名:Trojan-GameThief.Win32.OnLineGames.sxae
注
%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
Windows95/98/me中默認的安裝路徑是C:\Windows\System
WindowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用ATOOL“進程管理”結束病毒調用的進程
%ProgramFiles%\Internet Explorer\IEXPLORE.EXE
(2) 刪除病毒衍生的檔案
%Temp%\2.tmp
%Temp%\2.tmp.bat
%Temp%\B.tmp
%Temp%\B.tmp.bat
%Temp%\C.tmp
%Temp%\C.tmp.bat
%Temp%\DIPFSDIO74.tmp
%Temp%\tmpA.tmp
%Temp%\WowInitcode.dll
%Temp%\~DF42A9.tmp
%Documents and Settings%\All Users\jjdf32.ini
%Documents and Settings%\All Users\lljydf16.ini
%Documents and Settings%\All Users\zyndf16.ini
%Documents and Settings%\All Users\zyndf32.ini
%Windir%\2.exe
%Windir%\LastGood\system32\drivers\cdaudio.sys
%Windir%\setupapi.log
%Windir%\system\llzjy080902.exe
%Windir%\system\zjj32dla.dll
%Windir%\system\zyndld32080904.dll
%Windir%\system\zyndld32080904jt.dll
%Windir%\system\zyndle080904.exe
%System32%\5oLZ92.dll
%System32%\aotoppt.dll
%System32%\biroas.dll
%System32%\cmbdaf.dll
%System32%\comboaus.dll
%System32%\conimen.exe
%System32%\cupops.dll
%System32%\discard.ini
%System32%\dllcache\cdaudio.sys
%System32%\drivers\cdaudio.sys
%System32%\drivers\OLD5.tmp
%System32%\drivers\rpywg.sys
%System32%\Fserys.sys
%System32%\ghjsw.dll
%System32%\inserse.dll
%System32%\ixplrer.exe
%System32%\johandy.dll
%System32%\kandaof.dll
%System32%\kne12.dll
%System32%\kne12.exe
%System32%\lmtlsb.cfg
%System32%\lmtlsb.dll
%System32%\mduaey.dll
%System32%\micsus.dll
%System32%\pewire.dll
%System32%\qxfel.dll
%System32%\ringtte.dll
%System32%\ringttek.exe
%System32%\slbiopfs2.dll
%System32%\slbiopfs2.nls
%System32%\sufost.ini
%System32%\thermaltinc.dll
%System32%\TL.exe
%System32%\tmpjj32df0.exe
%System32%\tmpzydf0.exe
%System32%\tscfgwmijxsj.dll
%System32%\tscfgwmijxsj.nls
%System32%\xolehlpjh.dll
%System32%\xolehlpjh.nls
%System32%\xsbvgzd.cfg
%System32%\xsbvgzd.dll
%System32%\xsbvgzd.exe
%System32%\zfashl.dll
%System32%\zxdtye.dll
(3) 刪除病毒添加的註冊表項
刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]下的dlnjj_df值。
如果在想打開IE默認關聯檢查,請把
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下的Check_Associations,字元串值改為yes。
如果想打開開機自動撥號聯網功能,請把
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings下的EnableAutodial值改為1。