 |
 |
 |
|
|
|
Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Trojan
11.11.2006
Trojan.Win32.KillAV.beТипичный представитель семейства KillAV - троянских программ, предназначенных для борьбы с антивирусами и Firewall. Состоит из единственного EXE файла размером 5632 байта, файл не сжат и не зашифрован, в зараженной системе файл имеет имя mserv.exe. По структуре файл является службой Windows NT, в зараженной системе имя службы - "anem". Выполняет следующие операции:1. Запрашивает привилегию SeDebugPrivilege 2. Производит перечисление процессов. Имя процесса сравнивается с базой данных и при обнаружении соответствия производится завершение процесса. Работа со списком процессов производится через Toolhelp API (CreateToolhelp32Snapshot, Process32First, Process32Next) 2. Производит попытки остановки и удаления служб, описанных в базе данных. Работа со службами ведется через SCM База данных хранится в теле EXE файла в открытом виде. Данная троянская программа не обладает способностью к регистрации в качестве службы, ее установка в систему производится дроппером, который создает на диске файл mserv.exe и региструет его в качестве службы в реестре Обнаружение вручную: 1. Посторонняя служба с именем "anem", ссылающаяся на исполняемый файл mserv.exe |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| (С) Зайцев О.В.
2003-2022 |
При использовании любых материалов данного сайта необходимо указывать источник информации. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
