Trojan.Win32.KillAV.ek

Программа является приложением Windows (PE EXE-файл). Написана на языке Visual C++.

Trojan.Win32.KillAV.ek («Лаборатория Касперского») также известен как: Downloader-WD (McAfee), Trojan.KillAV (Symantec), Troj/KillAv-Z (Sophos), TrojanDownloader:Win32/Cartok.A (RAV), TROJ_KILLAV.BX (Trend Micro), TR/KillAV.EK (H+BEDV), Downloader.Small.30.AD (Grisoft), Trojan.KillAV.EK (SOFTWIN), Trj/KillAV.AK (Panda)

Программа является приложением Windows (PE EXE-файл). Написана на языке Visual C++. Имеет размер 6656 байт, упакована Pec. Размер распакованного файла — около 9 KB.

После запуска троянец копирует себя во временный каталог Windows с именем svchst.exe:

 
 %Temp%/svchst.exe

Оригинальный запускаемый файл при этом удаляется.

KillAV.ek выгружает из памяти процессы, имена которых попадают в следующий список:

 
 ------.EXE
 -------.EXE
 --------.EXE
 _AVP32.EXE
 _AVPCC.EXE
 _AVPM.EXE
 ACKWIN32.EXE
 ALG.EXE
 ANTI-TROJAN.EXE
 APVXDWIN.EXE
 ARMOR2NET.EXE
 AUTODOWN.EXE
 AVCONSOL.EXE
 AVE32.EXE
 AVGCTRL.EXE
 AVKSERV.EXE
 AVNT.EXE
 AVP.EXE
 AVP32.EXE
 AVPCC.EXE
 AVPDOS32.EXE
 AVPM.EXE
 AVPTC32.EXE
 AVPUPD.EXE
 AVSCHED32.EXE
 AVWIN95.EXE
 AVWUPD32.EXE
 BLACKD.EXE
 BLACKICE.EXE
 CFIADMIN.EXE
 CFIAUDIT.EXE
 CFINET.EXE
 CFINET32.EXE
 CLAW95.EXE
 CLAW95CF.EXE
 CLEANER.EXE
 CLEANER3.EXE
 DVP95.EXE
 DVP95_0.EXE
 ECENGINE.EXE
 ESAFE.EXE
 ESPWATCH.EXE
 F-AGNT95.EXE
 FINDVIRU.EXE
 FPROT.EXE
 F-PROT.EXE
 F-PROT95.EXE
 FP-WIN.EXE
 FRW.EXE
 F-STOPW.EXE
 IAMAPP.EXE
 IAMSERV.EXE
 IBMASN.EXE
 IBMAVSP.EXE
 ICLOAD95.EXE
 ICLOADNT.EXE
 ICMON.EXE
 ICSUPP95.EXE
 ICSUPPNT.EXE
 IFACE.EXE
 IOMON98.EXE
 JEDI.EXE
 LOCKDOWN2000.EXE
 LOOKOUT.EXE
 LUALL.EXE
 MOOLIVE.EXE
 MPFTRAY.EXE
 N32SCANW.EXE
 NAVAPW32.EXE
 NAVLU32.EXE
 NAVNT.EXE
 NAVW32.EXE
 NAVWNT.EXE
 NISUM.EXE
 NMAIN.EXE
 NORMIST.EXE
 NPROTECT.EXE
 NUPGRADE.EXE
 NVC95.EXE
 NVSVC32.EXE
 PADMIN.EXE
 PAVCL.EXE
 PAVSCHED.EXE
 PAVW.EXE
 PCCWIN98.EXE
 PCFWALLICON.EXE
 PERSFW.EXE
 RAV7.EXE
 RAV7WIN.EXE
 RESCUE.EXE
 SAFEWEB.EXE
 SAVSCAN.EXE
 SCAN32.EXE
 SCAN95.EXE
 SCANPM.EXE
 SCRSCAN.EXE
 SERV95.EXE
 SMC.EXE
 SPHINX.EXE
 SWEEP95.EXE
 TBSCAN.EXE
 TCA.EXE
 TDS2-98.EXE
 TDS2-NT.EXE
 VET95.EXE
 VETTRAY.EXE
 W-----.EXE
 WEBSCANX.EXE
 WFINDV32.EXE
 ZONEALARM.EXE