Trojan.Win32.Killav.dg

Trojan.Win32.Killav.dg («Лаборатория Касперского») также известен как: ProcKill-AH (McAfee), Trojan.KillAV (Symantec), Trojan.Killer (Doctor Web), TROJ_KILLAV.DG (Trend Micro), Win32:Trojan-gen. (ALWIL), Suspect File (Panda), NewHeur_PE (Eset)

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 4608 байт, упакована UPX. Размер распакованного файла — около 9728 байт.

После запуска троянец копирует себя в корневой каталог Windows с именем MemChk.exe:

  %Windir%/MemChk.exe

Затем регистрирует себя в ключе автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Memory Check"="%Windir%\MemChk.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

KillAV.dg выгружает из памяти процессы, имена которых попадают в следующий список:

  _AVPCC.EXE
  _AVPM.EXE
  AGENTSVR.EXE
  ALOGSERV.EXE
  ANTI-TROJAN.EXE
  ANTIVIRUS.EXE
  ANTS.EXE
  APIMONITOR.EXE
  APLICA32.EXE
  APVXDWIN.EXE
  ATCON.EXE
  ATGUARD.EXE
  ATM.EXE
  atrack.exe
  ATRO55EN.EXE
  ATUPDATER.EXE
  ATWATCH.EXE
  AUPDATE.EXE
  AUTOUPDATE.EXE
  AVCONSOL.EXE
  AVGSERV9.EXE
  AVP.EXE
  AVP32.EXE
  AVPCC.EXE
  AVPM.EXE
  AVSYNMGR.EXE
  BD_PROFESSIONAL.EXE
  BIDEF.EXE
  BIDSERVER.EXE
  BIPCP.EXE
  BIPCPEVALSETUP.EXE
  BISP.EXE
  BLACKD.EXE
  BLACKICE.EXE
  BOOTWARN.EXE
  BORG2.EXE
  BS120.EXE
  CDP.EXE
  CFGWIZ.EXE
  CFGWIZ.EXE
  CFIADMIN.EXE
  CFIADMIN.EXE
  CFIAUDIT.EXE
  CFIAUDIT.EXE
  CFINET.EXE
  CFINET.EXE
  CFINET32.EXE
  CFINET32.EXE
  CLEAN.EXE
  CLEAN.EXE
  CLEANER.EXE
  CLEANER.EXE
  CLEANER3.EXE
  CLEANER3.EXE
  CLEANPC.EXE
  CLEANPC.EXE
  CMD:EXE
  CMGRDIAN.EXE
  CMGRDIAN.EXE
  CMON016.EXE
  CMON016.EXE
  CPD.EXE
  CPF9X206.EXE
  CPFNT206.EXE
  CWNB181.EXE
  CWNTDWMO.EXE
  DEFWATCH.EXE
  DEPUTY.EXE
  DPF.EXE
  DPFSETUP.EXE
  DRWATSON.EXE
  DRWEB32.EXE
  ENT.EXE
  ESCANH95.EXE
  ESCANHNT.EXE
  ESCANV95.EXE
  EXANTIVIRUS-CNET.EXE
  FAST.EXE
  FIREWALL.EXE
  FLOWPROTECTOR.EXE
  FP-WIN_TRIAL.EXE
  FRW.EXE
  FSAV.EXE
  FSAV530STBYB.EXE
  FSAV530WTBYB.EXE
  FSAV95.EXE
  GBMENU.EXE
  GBPOLL.EXE
  GUARD.EXE
  GUARDDOG.EXE
  HACKTRACERSETUP.EXE
  HTLOG.EXE
  HWPE.EXE
  IAMAPP.EXE
  IAMAPP.EXE
  IAMSERV.EXE
  ICLOAD95.EXE
  ICLOADNT.EXE
  ICMON.EXE
  ICSUPP95.EXE
  ICSUPPNT.EXE
  IFW2000.EXE
  IPARMOR.EXE
  IRIS.EXE
  JAMMER.EXE
  KAVLITE40ENG.EXE
  KAVPERS40ENG.EXE
  KERIO-PF-213-EN-WIN.EXE
  KERIO-WRL-421-EN-WIN.EXE
  KERIO-WRP-421-EN-WIN.EXE
  KILLPROCESSSETUP161.EXE
  LDPRO.EXE
  LOCALNET.EXE
  LOCKDOWN.EXE
  LOCKDOWN2000.EXE
  LSETUP.EXE
  LUALL.EXE
  LUAU.EXE
  LUCOMSERVER.EXE
  LUINIT.EXE
  MCAGENT.EXE
  MCUPDATE.EXE
  MFW2EN.EXE
  MFWENG3.02D30.EXE
  MGUI.EXE
  MINILOG.EXE
  MOOLIVE.EXE
  MRFLUX.EXE
  MSCONFIG.EXE
  MSINFO32.EXE
  MSSMMC32.EXE
  MU0311AD.EXE
  NAV80TRY.EXE
  NAVAPW32.EXE
  NAVDX.EXE
  NAVSTUB.EXE
  NAVW32.EXE
  NC2000.EXE
  NCINST4.EXE
  NDD32.EXE
  NEOMONITOR.EXE
  NETARMOR.EXE
  NETINFO.EXE
  NETMON.EXE
  NETSCANPRO.EXE
  NETSPYHUNTER-1.2.EXE
  NETSTAT.EXE
  NISSERV.EXE
  NISUM.EXE
  NMAIN.EXE
  NORTON_INTERNET_SECU_3.0_407.EXE
  NPF40_TW_98_NT_ME_2K.EXE
  NPFMESSENGER.EXE
  NPROTECT.EXE
  NSCHED32.EXE
  NTVDM.EXE
  NVARCH16.EXE
  NWINST4.EXE
  NWTOOL16.EXE
  OSTRONET.EXE
  OUTPOST.EXE
  OUTPOSTINSTALL.EXE
  OUTPOSTPROINSTALL.EXE
  PADMIN.EXE
  PANIXK.EXE
  PAVPROXY.EXE
  PCC2002S902.EXE
  PCC2K_76_1436.EXE
  PCCIOMON.EXE
  PCDSETUP.EXE
  PCFWALLICON.EXE
  PCFWALLICON.EXE
  PCIP10117_0.EXE
  PDSETUP.EXE
  PERISCOPE.EXE
  PERSFW.EXE
  PF2.EXE
  PFWADMIN.EXE
  PINGSCAN.EXE
  PLATIN.EXE
  POPROXY.EXE
  POPSCAN.EXE
  PORTDETECTIVE.EXE
  PPINUPDT.EXE
  PPTBC.EXE
  PPVSTOP.EXE
  PROCEXPLORERV1.0.EXE
  PROPORT.EXE
  PROTECTX.EXE
  PSPF.EXE
  PURGE.EXE
  PVIEW95.EXE
  QCONSOLE.EXE
  QSERVER.EXE
  RAV8WIN32ENG.EXE
  REGCLEANR.EXE
  REGCLEANR.EXE
  REGEDIT.EXE
  REGEDT32.EXE
  RESCUE.EXE
  RESCUE32.EXE
  RRGUARD.EXE
  RSHELL.EXE
  RTVSCN95.EXE
  RULAUNCH.EXE
  SAFEWEB.EXE
  SBSERV.EXE
  SETUP_FLOWPROTECTOR_US.EXE
  SETUPVAMEEVAL.EXE
  SFC.EXE
  SGSSFW32.EXE
  SHELLSPYINSTALL.EXE
  SHN.EXE
  SMC.EXE
  SOFI.EXE
  SPF.EXE
  SPHINX.EXE
  SPYXX.EXE
  SS3EDIT.EXE
  ST2.EXE
  SUPFTRL.EXE
  SUPPORTER5.EXE
  SYMPROXYSVC.EXE
  SYSEDIT.EXE
  TASKMGR:EXE
  TASKMON.EXE
  TAUMON.EXE
  TAUSCAN.EXE
  TCA.EXE
  TCM.EXE
  TDS2-98.EXE
  TDS2-NT.EXE
  TDS-3.EXE
  TFAK5.EXE
  TGBOB.EXE
  TITANIN.EXE
  TITANINXP.EXE
  TRACERT.EXE
  TRJSCAN.EXE
  TRJSETUP.EXE
  TROJANTRAP3.EXE
  UNDOBOOT.EXE
  UPDATE.EXE
  VBCMSERV.EXE
  VBCONS.EXE
  VBUST.EXE
  VBWIN9X.EXE
  VBWINNTW.EXE
  VCSETUP.EXE
  VFSETUP.EXE
  VIRUSMDPERSONALFIREWALL.EXE
  VNLAN300.EXE
  VNPC3000.EXE
  VPC42.EXE
  VPFW30S.EXE
  VPTRAY.EXE
  VSCENU6.02D30.EXE
  VSECOMR.EXE
  VSHWIN32.EXE
  VSISETUP.EXE
  VSMAIN.EXE
  VSMON.EXE
  VSSTAT.EXE
  VSWIN9XE.EXE
  VSWINNTSE.EXE
  VSWINPERSE.EXE
  W32DSM89.EXE
  W9X.EXE
  WATCHDOG.EXE
  WEBSCANX.EXE
  WGFE95.EXE
  WHOSWATCHINGME.EXE
  WHOSWATCHINGME.EXE
  WINRECON.EXE
  WNT.EXE
  WRADMIN.EXE
  WRCTRL.EXE
  WSBGATE.EXE
  WYVERNWORKSFIREWALL.EXE
  XPF202EN.EXE
  ZAPRO.EXE
  ZAPSETUP3001.EXE
  ZATUTOR.EXE
  ZAUINST.EXE
  ZONALM2601.EXE
  ZONEALARM.EXE