Security Lab

Trojan.Win32. KillAV.gj

Trojan.Win32. KillAV.gj

Троянская программа. Является приложением Windows (PE EXE-файл).

Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 61440 байт.

После запуска троянец выводит на экран следующее сообщение:

Scaning for root kit 
После чего создает в корне диска C: файл с именем Update.bat:

C:\Update.bat

Троянец выгружает из памяти процессы, имена которых попадают в следующий список:

  _AVP32.EXE
  _AVPCC.EXE
  _AVPM.EXE
  ACKWIN32.EXE
  ADVXDWIN.EXE
  ALERTSVC.EXE
  ALOGSERV.EXE
  AMON9X.EXE
  ANTI-t*r*o*jan.EXE
  ANTS.EXE
  apvxdwin.exe
  ATCON.EXE
  ATUPDATER.EXE
  ATWATCH.EXE
  AUTODOWN.EXE
  AutoTrace.exe
  AUTOUPDATE.EXE
  AVCONSOL.EXE
  AVGCC32.EXE
  Avgctrl.exe
  AvgServ.exe
  AVGSERV.EXE
  AVGSERV9.EXE
  AVGW.EXE
  avkpop.exe
  AVKSERV.EXE
  avkservice.exe
  avkwctl9.exe
  AVP.EXE
  AVP32.EXE
  AVPCC.EXE
  AVPM.EXE
  Avsched32.exe
  AvSynMgr.exe
  AVSYNMGR.EXE
  AVWINNT.EXE
  AVXMONITOR9X.EXE
  AVXMONITORNT.EXE
  AVXQUAR.EXE.EXE
  AVXW.EXE
  BLACKICE.EXE
  CDP.EXE
  CLAW95.EXE
  CLAW95CF.EXE
  CLEANER.EXE
  CLEANER3.EXE
  CMGRDIAN.EXE
  CONNECTIONMONITOR.EXE
  CTRL.EXE
  defscangui.exe
  DEFWATCH.EXE
  DOORS.EXE
  DRWATSON.EXE
  DVP95.EXE
  DVP95_0.EXE
  EFPEADM.EXE
  ETRUSTCIPE.EXE
  EVPN.EXE
  EXPERT.EXE
  F-AGNT95.EXE
  fameh32.exe
  FAST.EXE
  fch32.exe
  fih32.exe
  fnrb32.exe
  F-PROT.EXE
  F-PROT95.EXE
  FP-WIN.EXE
  FRW.EXE
  fsaa.exe
  fsav32.exe
  fsgk32.exe
  fsm32.exe
  fsma32.exe
  fsmb32.exe
  F-STOPW.EXE
  gbmenu.exe
  gbpoll.exe
  GENERICS.EXE
  GUARD.EXE
  GUARDDOG.EXE
  IAMAPP.EXE
  IAMSERV.EXE
  ICLOAD95.EXE
  ICLOADNT.EXE
  ICMON.EXE
  ICSUPP95.EXE
  ICSUPPNT.EXE
  IFACE.EXE
  IOMON98.EXE
  ISRV95.EXE
  JEDI.EXE
  LDNETMON.EXE
  LDPROMENU.EXE
  LDSCAN.EXE
  LOCKDOWN.EXE
  LOCKDOWN2000.EXE
  LUALL.EXE
  LUCOMSERVER.EXE
  MCAGENT.EXE
  MCMNHDLR.EXE
  McShield.exe
  MCSHIELD.EXE
  MCTOOL.EXE
  MCUPDATE.EXE
  MCVSRTE.EXE
  MCVSSHLD.EXE
  MGAVRTCL.EXE
  MGAVRTE.EXE
  MGHTML.EXE
  MINILOG.EXE
  MONITOR.EXE
  MOOLIVE.EXE
  MpfConsole
  MPFSERVICE.EXE
  MPFTRAY.EXE
  MWATCH.EXE
  NAVAPSVC.EXE
  NAVLU32.EXE
  NAVW32.EXE
  NAVWNT.EXE
  NDD32.EXE
  NeoWatchLog.exe
  NETUTILS.EXE
  NISSERV.EXE
  NISUM.EXE
  NMAIN.EXE
  NORMIST.EXE
  notepad.exe
  NPROTECT.EXE
  NPSSVC.EXE
  NSCHED32.EXE
  ntrtscan.EXE
  NTVDM.EXE
  Nui.EXE
  NVC95.EXE
  NWService.exe
  NWTOOL16.EXE
  PADMIN.EXE
  pavproxy.exe
  PCCIOMON.EXE
  pccntmon.EXE
  pccwin97.EXE
  PCCWIN98.EXE
  pcscan.EXE
  PERSFW.EXE
  POP3TRAP.EXE
  POPROXY.EXE
  PORTMONITOR.EXE
  PROGRAMAUDITOR.EXE
  PVIEW95.EXE
  RAV7.EXE
  RAV7WIN.EXE
  REALMON.EXE
  REGEDIT.EXE
  RESCUE.EXE
  RTVSCN95.EXE
  sbserv.exe
  SCAN32.EXE
  SCRSCAN.EXE
  SMC.EXE
  SPHINX.EXE
  SPYXX.EXE
  SS3EDIT.EXE
  SWEEP95.EXE
  SWEEPSRV.SYS
  SWNETSUP.EXE
  SymProxySvc.exe
  SYMTRAY.EXE
  taskmgr.exe
  taskmgr.exe
  TAUMON.EXE
  TC.EXE
  TCA.EXE
  TCM.EXE
  TDS-3.EXE
  TFAK.EXE
  UPDATE.EXE
  vbcmserv.exe
  VbCons.exe
  VET32.EXE
  VET95.EXE
  VETTRAY.EXE
  VIR-HELP.EXE
  VPC32.EXE
  VPTRAY.EXE
  VSCHED.EXE
  VSECOMR.EXE
  VSHWIN32.EXE
  VSMON.EXE
  VSSTAT.EXE
  WATCHDOG.EXE
  WEBSCANX.EXE
  WEBTRAP.EXE
  WGFE95.EXE
  WIMMUN32.EXE
  WRADMIN.EXE
  WRCTRL.EXE
  ZATUTOR.EXE
  ZAUINST.EXE
  ZONEALARM.EXE

Также троянец регистрирует себя в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "Start"="<путь до оригинального запускаемого файла>c:\Update.bat"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

После чего троянец выводит на экран следующее сообщение:

 Root kit scaner please wait while searching 
  for possable malicious file's
   created by  
   mad max!

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться