На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Trojan

Trojan.Win32.KillAV.cn


Rootkit:  Нет
Видимые проявления:  Блокируется запуск AVZ и антивирусов
Синонимы:  Trojan.Rootkit.Virtob.A
Win32/KillAV.NBU

Небольшая троянская программа, предназначена для борьбы с антивирусами, Firewall и антивирусными утилитами. Размер исполняемого файла около 5 кб. В случае запуска скрытно выполняет следующие действия:
1. Создает на диске драйвер C:\WINDOWS\system32\unpr.sys размером 2.5 кб (данный файл хранится в теле Трояна)
2. Регистрирует драйвер через стандартное API под именем UNPR, после чего завершает работу

Троян не загружает установленный драйвер, поэтому его загрузка пройдет только после перезагрузки компьютера. Драйвер осуществляет слежение за загрузкой без перехвата функций, при помощи документированного механизма уведомлений о загрузке PE файлов в память (LoadImageNotifyRoutine). Получив уведомление о запуске процесса драйвер сравнивает имя исполняемого файла процесса с базой имен, имеющейся в драйвере (в драйвере две базы – база имен EXE файлов и база имен драйверов). Обнаружив совпадение, драйвер открывает процесс и завешает его работу.
Троян блокирует работу процессов с именами: avp.exe avpm.exe avz.exe bdmcon.exe bdss.exe ccapp.exe ccevtmgr.exe cclaw.exe ccpxysvc.exe fsav32.exe fsbl.exe fsm32.exe gcasserv.exe iao.exe icmon.exe inetupd.exe issvc.exe kav.exe kavss.exe kavsvc.exe klswd.exe livesrv.exe mcshield.exe ms ssrv.exe nod32krn.exe nod32ra.exe pavfnsvr.exe rtvscan.exe savscan.exe zclient.exe

Как легко заметить, в базе троянского драйвера есть avz.exe, что приводит к блокировке его запуска. Защититься от этого просто – идентификация процесса идет по имени, поэтому для защиты достаточно переименовать исполняемый файл, дав ему случайное имя типа 123.exe. Для удаления троянского драйвера можно применить скрипт AVZ следующего вида:
begin
 DeleteService('UNPR', true);
 RebootWindows(true);
end.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.