11.11.2006
Trojan.Win32.KillAV.be
Типичный представитель семейства KillAV - троянских программ, предназначенных для борьбы с антивирусами и Firewall. Состоит из единственного EXE файла размером 5632 байта, файл не сжат и не зашифрован, в зараженной системе файл имеет имя mserv.exe. По структуре файл является службой Windows NT, в зараженной системе имя службы - "anem". Выполняет следующие операции:
1. Запрашивает привилегию SeDebugPrivilege
2. Производит перечисление процессов. Имя процесса сравнивается с базой данных и при обнаружении соответствия производится завершение процесса. Работа со списком процессов производится через Toolhelp API (CreateToolhelp32Snapshot, Process32First, Process32Next)
2. Производит попытки остановки и удаления служб, описанных в базе данных. Работа со службами ведется через SCM
База данных хранится в теле EXE файла в открытом виде. Данная троянская программа не обладает способностью к регистрации в качестве службы, ее установка в систему производится дроппером, который создает на диске файл mserv.exe и региструет его в качестве службы в реестре
Обнаружение вручную:
1. Посторонняя служба с именем "anem", ссылающаяся на исполняемый файл mserv.exe