Trojan.Win32. KillAV.gj

Троянская программа. Является приложением Windows (PE EXE-файл).

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 61440 байт.

После запуска троянец выводит на экран следующее сообщение:

Scaning for root kit 
После чего создает в корне диска C: файл с именем Update.bat:

C:\Update.bat

Троянец выгружает из памяти процессы, имена которых попадают в следующий список:

 _AVP32.EXE
 _AVPCC.EXE
 _AVPM.EXE
 ACKWIN32.EXE
 ADVXDWIN.EXE
 ALERTSVC.EXE
 ALOGSERV.EXE
 AMON9X.EXE
 ANTI-t*r*o*jan.EXE
 ANTS.EXE
 apvxdwin.exe
 ATCON.EXE
 ATUPDATER.EXE
 ATWATCH.EXE
 AUTODOWN.EXE
 AutoTrace.exe
 AUTOUPDATE.EXE
 AVCONSOL.EXE
 AVGCC32.EXE
 Avgctrl.exe
 AvgServ.exe
 AVGSERV.EXE
 AVGSERV9.EXE
 AVGW.EXE
 avkpop.exe
 AVKSERV.EXE
 avkservice.exe
 avkwctl9.exe
 AVP.EXE
 AVP32.EXE
 AVPCC.EXE
 AVPM.EXE
 Avsched32.exe
 AvSynMgr.exe
 AVSYNMGR.EXE
 AVWINNT.EXE
 AVXMONITOR9X.EXE
 AVXMONITORNT.EXE
 AVXQUAR.EXE.EXE
 AVXW.EXE
 BLACKICE.EXE
 CDP.EXE
 CLAW95.EXE
 CLAW95CF.EXE
 CLEANER.EXE
 CLEANER3.EXE
 CMGRDIAN.EXE
 CONNECTIONMONITOR.EXE
 CTRL.EXE
 defscangui.exe
 DEFWATCH.EXE
 DOORS.EXE
 DRWATSON.EXE
 DVP95.EXE
 DVP95_0.EXE
 EFPEADM.EXE
 ETRUSTCIPE.EXE
 EVPN.EXE
 EXPERT.EXE
 F-AGNT95.EXE
 fameh32.exe
 FAST.EXE
 fch32.exe
 fih32.exe
 fnrb32.exe
 F-PROT.EXE
 F-PROT95.EXE
 FP-WIN.EXE
 FRW.EXE
 fsaa.exe
 fsav32.exe
 fsgk32.exe
 fsm32.exe
 fsma32.exe
 fsmb32.exe
 F-STOPW.EXE
 gbmenu.exe
 gbpoll.exe
 GENERICS.EXE
 GUARD.EXE
 GUARDDOG.EXE
 IAMAPP.EXE
 IAMSERV.EXE
 ICLOAD95.EXE
 ICLOADNT.EXE
 ICMON.EXE
 ICSUPP95.EXE
 ICSUPPNT.EXE
 IFACE.EXE
 IOMON98.EXE
 ISRV95.EXE
 JEDI.EXE
 LDNETMON.EXE
 LDPROMENU.EXE
 LDSCAN.EXE
 LOCKDOWN.EXE
 LOCKDOWN2000.EXE
 LUALL.EXE
 LUCOMSERVER.EXE
 MCAGENT.EXE
 MCMNHDLR.EXE
 McShield.exe
 MCSHIELD.EXE
 MCTOOL.EXE
 MCUPDATE.EXE
 MCVSRTE.EXE
 MCVSSHLD.EXE
 MGAVRTCL.EXE
 MGAVRTE.EXE
 MGHTML.EXE
 MINILOG.EXE
 MONITOR.EXE
 MOOLIVE.EXE
 MpfConsole
 MPFSERVICE.EXE
 MPFTRAY.EXE
 MWATCH.EXE
 NAVAPSVC.EXE
 NAVLU32.EXE
 NAVW32.EXE
 NAVWNT.EXE
 NDD32.EXE
 NeoWatchLog.exe
 NETUTILS.EXE
 NISSERV.EXE
 NISUM.EXE
 NMAIN.EXE
 NORMIST.EXE
 notepad.exe
 NPROTECT.EXE
 NPSSVC.EXE
 NSCHED32.EXE
 ntrtscan.EXE
 NTVDM.EXE
 Nui.EXE
 NVC95.EXE
 NWService.exe
 NWTOOL16.EXE
 PADMIN.EXE
 pavproxy.exe
 PCCIOMON.EXE
 pccntmon.EXE
 pccwin97.EXE
 PCCWIN98.EXE
 pcscan.EXE
 PERSFW.EXE
 POP3TRAP.EXE
 POPROXY.EXE
 PORTMONITOR.EXE
 PROGRAMAUDITOR.EXE
 PVIEW95.EXE
 RAV7.EXE
 RAV7WIN.EXE
 REALMON.EXE
 REGEDIT.EXE
 RESCUE.EXE
 RTVSCN95.EXE
 sbserv.exe
 SCAN32.EXE
 SCRSCAN.EXE
 SMC.EXE
 SPHINX.EXE
 SPYXX.EXE
 SS3EDIT.EXE
 SWEEP95.EXE
 SWEEPSRV.SYS
 SWNETSUP.EXE
 SymProxySvc.exe
 SYMTRAY.EXE
 taskmgr.exe
 taskmgr.exe
 TAUMON.EXE
 TC.EXE
 TCA.EXE
 TCM.EXE
 TDS-3.EXE
 TFAK.EXE
 UPDATE.EXE
 vbcmserv.exe
 VbCons.exe
 VET32.EXE
 VET95.EXE
 VETTRAY.EXE
 VIR-HELP.EXE
 VPC32.EXE
 VPTRAY.EXE
 VSCHED.EXE
 VSECOMR.EXE
 VSHWIN32.EXE
 VSMON.EXE
 VSSTAT.EXE
 WATCHDOG.EXE
 WEBSCANX.EXE
 WEBTRAP.EXE
 WGFE95.EXE
 WIMMUN32.EXE
 WRADMIN.EXE
 WRCTRL.EXE
 ZATUTOR.EXE
 ZAUINST.EXE
 ZONEALARM.EXE

Также троянец регистрирует себя в ключе автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "Start"="<путь до оригинального запускаемого файла>c:\Update.bat"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

После чего троянец выводит на экран следующее сообщение:

 Root kit scaner please wait while searching 
 for possable malicious file's
  created by  
  mad max!
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.