Trojan.Win32.KillAV.amf分析

guyou888

Trojan.Win32.KillAV.amf分析

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：2143 回复：2

病毒标签
病毒名称： Trojan.Win32.KillAV.amf
中文名称： AV终结者
病毒类型： 木马
文件 MD5： BCE3B1355C6076145E9E8AD60A0C27D3
公开范围： 完全公开
危害等级： 4
文件长度： 30,796 字节
感染系统： Windows98以上版本
开发工具： Borand Delphi
加壳类型： WinUpack 0.39

病毒描述
该病毒中文名称为“AV终结者”，属于木马类。病毒运行后，首先在%Documents and Settings%\All Users目录下衍生病毒配置文件lljydf16.ini，然后根据lljydf16.ini内容在%Windir%\system下衍生llzjy080902.exe、zjj32dla.dll；并在逻辑盘根目录下释放AutoRun.inf、auto.exe，以便于利用移动设备进行传播；在%HomeDrive%下衍生dfDelmlljy.bat，用于在该病毒执行完自身代码后，删除该病毒文件和自身。新增注册表项，添加启动项，禁用IE默认关联检查，关闭开机自动拨号联网功能。利用命令行ntsd命令结束相关安全软件进程。暗中调用iexplore.exe加载病毒文件zjj32dla.dll读取下载信息，连接网络，下载大量病毒文件并在本机运行。

行为分析
本地行为
1、文件运行后会释放以下文件
%Documents and Settings%\All Users\lljydf16.ini 145字节
%Windir%\system\llzjy080902.exe 30,796 字节
%Windir%\system\zjj32dla.dll 45,056字节
2、 新增注册表
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
注册表值： "Check_Associations"
类型： REG_SZ
字符串： "no"
描述： 禁用IE默认关联检查
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
注册表值： "EnableAutodial"
类型： DWORD
字符串： "0"
描述： 关闭开机自动拨号联网功能
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
注册表值： "dlnjj_df "
类型： REG_SZ
字符串： " C:\WINDOWS\system\llzjy080902.exe "
描述： 添加启动项，当所有用户重新登陆启动系统时运行病毒文件
3、 利用ntsd命令结束相关安全软件进程如kvxp.kxp、360tray.exe。
4、 lljydf16.ini内容：
[mydown]
old_exe=
old_dll32=
ver=080902
fn_exe=C:\WINDOWS\system\llzjy080902.exe
reg_start=dlnjj_df
fn_dll=C:\WINDOWS\system\zjj32dla.dll
5、 AutoRun.inf内容：
[AutoRun]
shell\open=(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=auto.exe
6、在%HomeDrive%下衍生病毒批处理文件dfDelmlljy.bat，用于在该病毒执行完自身代码后，删除该病毒文件和自身。
网络行为
1、 暗中调用iexplore.exe进程加载病毒文件zjj32dla.dll，从而读取病毒下载信息。
2、 连接网络，通过调用函数urldownloadtofilea下载大量病毒文件，并在本机运行。
协议：TCP
域名：http://qq-****.com.cn/youxi
端口：80
http://qq-****.com.cn/youxi/1.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tctu
http://qq-****.com.cn/youxi/2.exe 病毒名：Trojan-GameThief.Win32.Magania.ablu
http://qq-****.com.cn/youxi/3.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tctl
http://qq-****.com.cn/youxi/4.exe 病毒名：Worm.Win32.AutoRun.mkd
http://qq-****.com.cn/youxi/5.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcxy
http://qq-****.com.cn/youxi/6.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tapu
http://qq-****.com.cn/youxi/7.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/8.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyh
http://qq-****.com.cn/youxi/9.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyb
http://qq-****.com.cn/youxi/11.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcya
http://qq-****.com.cn/youxi/12.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/13.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcqi
http://qq-****.com.cn/youxi/14.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.synr
http://qq-****.com.cn/youxi/15.exe 病毒名：Trojan-GameThief.Win32.Magania.abmz
http://qq-****.com.cn/youxi/16.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyj
http://qq-****.com.cn/youxi/17.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyb
http://qq-****.com.cn/youxi/18.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyz
http://qq-****.com.cn/youxi/19.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcye
http://qq-****.com.cn/youxi/21.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.sxxa
http://qq-****.com.cn/youxi/22.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcxv
http://qq-****.com.cn/youxi/23.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.sxtn
http://qq-****.com.cn/youxi/24.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcnt
http://qq-****.com.cn/youxi/25.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.tcyi
http://qq-****.com.cn/youxi/26.exe 病毒名：Trojan.Win32.Kilva.ew
http://qq-****.com.cn/youxi/27.exe 病毒名：Trojan-GameThief.Win32.OnLineGames.sxae
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
　　　 　 %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　 　 %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　 　 %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　 　 %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　 　 %Documents and Settings% 　　　当前用户文档根目录
　　　 　 %Temp%　　　　　 　　　　　　　\Documents and Settings
　　　 　　　　　　　　　 　　　　　　　 \当前用户\Local Settings\Temp
　　　 　 %System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　 　 Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　 　 Windows95/98/me中默认的安装路径是C:\Windows\System
　　　 　 WindowsXP中默认的安装路径是C:\Windows\System32

清除方案
1、使用安天防线可彻底清除此病毒(推荐)，点击此处免费下载安天防线。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用ATOOL进程管理结束病毒调用的进程%ProgramFiles%\Internet Explorer\IEXPLORE.EXE ，点击此处下载免费工具Atool。
(2) 删除病毒衍生的文件
%Temp%\2.tmp
%Temp%\2.tmp.bat
%Temp%\B.tmp
%Temp%\B.tmp.bat
%Temp%\C.tmp
%Temp%\C.tmp.bat
%Temp%\DIPFSDIO74.tmp
%Temp%\tmpA.tmp
%Temp%\WowInitcode.dll
%Temp%\~DF42A9.tmp
%Documents and Settings%\All Users\jjdf32.ini
%Documents and Settings%\All Users\lljydf16.ini
%Documents and Settings%\All Users\zyndf16.ini
%Documents and Settings%\All Users\zyndf32.ini
%Windir%\2.exe
%Windir%\LastGood\system32\drivers\cdaudio.sys
%Windir%\setupapi.log
%Windir%\system\llzjy080902.exe
%Windir%\system\zjj32dla.dll
%Windir%\system\zyndld32080904.dll
%Windir%\system\zyndld32080904jt.dll
%Windir%\system\zyndle080904.exe
%System32%\5oLZ92.dll
%System32%\aotoppt.dll
%System32%\biroas.dll
%System32%\cmbdaf.dll
%System32%\comboaus.dll
%System32%\conimen.exe
%System32%\cupops.dll
%System32%\discard.ini
%System32%\dllcache\cdaudio.sys
%System32%\drivers\cdaudio.sys
%System32%\drivers\OLD5.tmp
%System32%\drivers\rpywg.sys
%System32%\Fserys.sys
%System32%\ghjsw.dll
%System32%\inserse.dll
%System32%\ixplrer.exe
%System32%\johandy.dll
%System32%\kandaof.dll
%System32%\kne12.dll
%System32%\kne12.exe
%System32%\lmtlsb.cfg
%System32%\lmtlsb.dll
%System32%\mduaey.dll
%System32%\micsus.dll
%System32%\pewire.dll
%System32%\qxfel.dll
%System32%\ringtte.dll
%System32%\ringttek.exe
%System32%\slbiopfs2.dll
%System32%\slbiopfs2.nls
%System32%\sufost.ini
%System32%\thermaltinc.dll
%System32%\TL.exe
%System32%\tmpjj32df0.exe
%System32%\tmpzydf0.exe
%System32%\tscfgwmijxsj.dll
%System32%\tscfgwmijxsj.nls
%System32%\xolehlpjh.dll
%System32%\xolehlpjh.nls
%System32%\xsbvgzd.cfg
%System32%\xsbvgzd.dll
%System32%\xsbvgzd.exe
%System32%\zfashl.dll
%System32%\zxdtye.dll
(3) 删除病毒添加的注册表项
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]下的dlnjj_df值。
如果在想打开IE默认关联检查，请把
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下的Check_Associations，字符串值改为yes。
如果想打开开机自动拨号联网功能，请把
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings下的EnableAutodial值改为1。

pd88486091

菜鳥看不懂啊，

蝙蝠公子

虽然看不懂,但还是要多谢楼主的热心:*19*: