近日,超级巡警团队监测到蠕虫Trojan.Win32.KillAV.ayh,正在传播部分地区大量传播,该病毒为机器狗的变种,运行后,将对用户的计算机系统进行恶意攻击,随后在局域网内大量传播。超级巡警建议用户使用超级巡警来防御查杀此类木马。同时提醒广大用户及时更新病毒库,对该程序进行有效地查杀。
一、病毒相关分析
病毒名称:Trojan.Win32.KillAV.ayh
病毒类型:蠕虫病毒
危险级别:4
感染平台:windows
S H A 1 :9ece6adf4d52b5d7732ad4ee359a6a60b470c73b
病毒大小:290,816
加壳类型:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
开发工具:vc
病毒行为:
1、释放病毒样本
a) %SystemRoot% \system32\SCVVHSOT.exe
b) %SystemRoot%\SCVVHSOT.exe
2、将如下文件设置隐藏属性,来瞒骗用户。
%SystemRoot% \system32\SCVVHSOT.exe
%SystemRoot%\SCVVHSOT.exe
3、恶意篡改注册表
1)恶意篡改如下注册表的键值数据,将达到开机启动自动运行的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
键值名称:Shell
键值类型:REG_Z
键值数据:Explorer.exe SCVVHSOT.exe
2)恶意篡改如下注册表的键值数据,将达到开机启动自动运行的目的。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
键值名称:Yahoo Messengger
键值类型:REG_Z
键值数据:%SystemRoot%\system32\SCVVHSOT.exe
3)恶意增加如下注册表键值,将达到禁用任务管理器的作用。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值名称:DisableTaskMgr
键值类型:REG_DWORD
键值数据:0x00000001(1)
4)恶意如下注册表键值,将达到,禁用注册表的作用。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值名称:DisableRegistryTools
键值类型:REG_DWORD
键值数据:0x00000001(1)
4、执行恶意进程。
a) %SystemRoot%\system32\cmd.exe
i. 命令行:/C AT /delete /yes
ii. 目的:创建AT.EXE进程
b) at.exe
命令行:/delete /yes
目的:命令不会删除所有的AT作业
C)cmd.exe
命令行:/C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su
目的:创建AT.EXE
D)AT.EXE
命令行:AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SystemRoot%\system32\blastclnnn.exe
目的:每月执行日期 09:00 ,执行 %SystemRoot%\system32\blastclnnn.exe
5.访问网络
1)远程主机:127.0.0.1 : 80 (http)
目的:检测本地机器是否开启80端口,为后续做准备
6.蠕虫病毒通过共享目录的方式,将在整个局域网内疯狂传播。
注意:此病毒危害及其广泛,如果发现,请直接拔掉网线。
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
手工清除方法:
1.断开网络。
2.使用相关安全工具,进行清理禁用注册表和任务管理器的行为。
3.结束病毒进程。
Trojan.Win32.KillAV.ayh(1CF56911005AD0C267864F4BA2F2E155).EXE
4删除以下文件
%SystemRoot% \system32\SCVVHSOT.exe
%SystemRoot%\SCVVHSOT.exe
5 恢复如下注册表
1)恢复如下注册表,将达到去除恶意启动的目的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
键值名称:Shell
键值类型:REG_Z
键值数据:Explorer.exe
2)删除如下注册表,将达到去除恶意启动的目的
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
键值名称:Yahoo Messengger
键值类型:REG_Z
键值数据:恶意数值
3)恢复如下注册表,将达到恢复任务管理器的作用。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值名称:DisableTaskMgr
键值类型:REG_DWORD
键值数据:0x00000000(0))
4)启用注册表的恢复方法:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值名称:DisableRegistryTools
键值类型:REG_DWORD
键值数据:0x00000000(0)
6 重启计算机,使用超级巡警安全防护。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设 置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件,尤其是邮件附件。
10、不要随意下载不安全网站的文件并运行。
11、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
