Trojan.Win32.Killav.

毒下载者木马类，病毒运行后调用API获取系统文件夹路径，在%System32%目录下创建病毒文件adfbaa.exe，并加载该进程，将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，释放驱动文件恢复SSDT使卡巴主动防御失效，衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗号木马，给用户清理带来极大的不便！

病毒标签

图片

病毒名称：Trojan.Win32.KillAV.ww

病毒类型：木马下载者

文件MD5：01322FD0B6AFE8497D429AFC8F1943F2

公开范围：完全公开

危害等级：4

文件长度：9,728字节

感染系统：Windows98以上版本

开发工具：MicrosoftVisualC++6.0

加壳类型：UPX0.89.6-1.02/1.05-1.24->Markus&Laszlo

本地描述

图片

　　1、遍历进程查找是否存在以下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程。2、调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，释放驱动文件babopx.sys恢复SSDT使卡巴主动防御失效。3、衍生的adfbaa.exe判断进程是否存在AVP.exe如存在则设置系统时间为1900年，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，连接网络读取列表下载大量恶意文件到本地运行。

清除方法

图片

　　手工清除请按照行为分析删除对应文件，恢复相关系统设置。(1)使用ATOOL进程管理结束病毒进程。(2)强行删除病毒下载的大量病毒文件：%System32%\adfbaa.exe（随机病毒名）%System32%\drivers\beep.sys%System32%\drivers\babopx.sys（注：该病毒下载的病毒列表可能会随时变化）(3)删除病毒创建的注册表项：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]注册表值:"nnlhe"删除nnlhe键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\被映像劫持的文件名称]删除ImageFileExecutionOptions键值下所有被映像劫持的文件名称。