木马Trojan.KillAV破坏杀毒软件运行环境

guyou888

木马Trojan.KillAV破坏杀毒软件运行环境

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：1610 回复：0

特洛伊木马Trojan.KillAV自带安全产品列表，逃避安全软件的检测。

病毒名称：Trojan.KillAV

病毒类型：特洛伊木马

受影响的操作系统：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：

安全软件作为病毒的“克星”，自然会被病毒编写者视为攻击目标之一。如果安全软件无法正常运行，保护功能失效，病毒便有更多机会危害用户的计算机，从而为病毒攻击者带来更好的便利和回报。因此，针对安全软件的病毒应运而生，Trojan.KillAV便是其中一例。

Trojan.KillAV病毒自带安全产品列表，并可能将该列表加密，令其更好的逃避安全软件的检测。一旦在受感染的计算机中运行起来，病毒首先将安全产品列表解密，然后在计算机中搜寻所有正在运行的进程，将其同列表中的安全软件进程名相对比。如果匹配，Trojan.KillAV将会终止该安全产品的进程导致其无法运行。若遇到一些安全产品的进程被设定为不能终止，Trojan.KillAV便会转而破坏此进程的运行环境，如篡改它的运行参数等，使该安全产品的的功能失效。这时，计算机可能会提示用户安全软件运行失败。另外，有些Trojan.KillAV还会关闭Windows 自带的防火墙，并通过修改防火墙的设置使其无法重新被启用，或者设置防火墙允许病毒进程访问网络。同时，病毒还可能下载恶意代码至受感染计算机中，盗取用户信息，并打开一个后门等，给计算机带来极大的安全威胁。

诺顿安全专家建议：

1.诺顿防病毒软件2009及诺顿网络安全特警2009的创新“脉动更新”功能会每隔 5 到 15 分钟自动下载最新病毒定义库和产品更新至用户计算机中，从而有效保护计算机免受变化多端的病毒攻击。诺顿2006版本及之后产品可以免费升级到诺顿2009版本。

2.若发现程序运行异常，可使用已升级至最新病毒定义库的诺顿安全软件对计算机进行扫描查杀。

3.没有安装安全软件的用户可以下载诺顿防病毒软件2009、诺顿网络安全特警2009或诺顿360试用版对病毒进行查杀。