На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.KillAV.be


Rootkit:  Нет
Видимые проявления:  Остановка процессов и служб, принадлежащих антивирусам и Firewall

Типичный представитель семейства KillAV - троянских программ, предназначенных для борьбы с антивирусами и Firewall. Состоит из единственного EXE файла размером 5632 байта, файл не сжат и не зашифрован, в зараженной системе файл имеет имя mserv.exe. По структуре файл является службой Windows NT, в зараженной системе имя службы - "anem". Выполняет следующие операции:
1. Запрашивает привилегию SeDebugPrivilege
2. Производит перечисление процессов. Имя процесса сравнивается с базой данных и при обнаружении соответствия производится завершение процесса. Работа со списком процессов производится через Toolhelp API (CreateToolhelp32Snapshot, Process32First, Process32Next) 
2. Производит попытки остановки и удаления служб, описанных в базе данных. Работа со службами ведется через SCM 
База данных хранится в теле EXE файла в открытом виде. Данная троянская программа не обладает способностью к регистрации в качестве службы, ее установка в систему производится дроппером, который создает на диске файл mserv.exe и региструет его в качестве службы в реестре

Обнаружение вручную:
1. Посторонняя служба с именем "anem", ссылающаяся на исполняемый файл mserv.exe

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.