Trojan.Win32.Avkillah.b

Материал из Total Malware Info

Содержание 1 Trojan.Win32.Avkillah.b 1.1 Инсталляция 1.2 Деструктивная активность 1.3 Рекомендации по удалению

Trojan.Win32.Avkillah.b

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Существует две модификации данной вредоносной программы. Является приложением Windows (PE EXE-файл). Может иметь размер 5 120 и 2 048 байт. Не упакована. Написана на C++.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в один из ключей автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"ZoneAlarm 2.99"="<полный_путь_к_файлу_троянца>"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"RegScan"="<полный_путь_к_файлу_троянца>"

Деструктивная активность

При запуске троянец в бесконечно цикле завершает все процессы из списка:

ZAUINST.EXE
ZAPRO.EXE
ZONEALARM.EXE
ZATUTOR.EXE
MINILOG.EXE
VSMON.EXE
LOCKDOWN.EXE
NAVAPW32.EXE
ANTS.EXE
FAST.EXE
GUARD.EXE
UPDATE.EXE
AUTOUPDATE.EXE
TC.EXE
SPYXX.EXE
PVIEW95.EXE
REGEDIT.EXE
DRWATSON.EXE
SYSEDIT.EXE
NSCHED32.EXE
CLEANER.EXE
MOOLIVE.EXE
TCA.EXE
TCM.EXE
TDS-3.EXE
SS3EDIT.EXE
ANTI-TROJAN.EXE
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
WGFE95.EXE
POPROXY.EXE
NPROTECT.EXE
VSSTAT.EXE
VSHWIN32.EXE
NDD32.EXE
MCAGENT.EXE
MCUPDATE.EXE
AVPCC.EXE
AVPM.EXE
WATCHDOG.EXE
TAUMON.EXE
IAMAPP.EXE
IAMSERV.EXE
LOCKDOWN2000.EXE
SPHINX.EXE
AVCONSOL.EXE
WEBSCANX.EXE
VSECOMR.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVP.EXE
PCCIOMON.EXE
NAVW32.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
FRW.EXE
BLACKICE.EXE
BLACKD.EXE
WRCTRL.EXE
WRADMIN.EXE
WRCTRL.EXE
CLEANER3.EXE
PCFWALLICON.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
NVARCH16.EXE
MSSMMC32.EXE
PERSFW.EXE
VSMAIN.EXE
LUALL.EXE
LUCOMSERVER.EXE
NAVW32.EXE
AVSYNMGR.EXE
TRJSCAN.EXE
DEFWATCH.EXE
RTVSCN95.EXE
VPC42.EXE
VPTRAY.EXE
PAVPROXY.EXE
APVXDWIN.EXE
AGENTSVR.EXE
FSAV.EXE
NETSTAT.EXE
MGUI.EXE
MSCONFIG.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE

Вторая версия троянца завершает два следующих процесса:

RNAAPP.EXE
TAPISRV.EXE

Если на зараженном компьютере установлена операционная система Windows 9x троянец скрывает свой процесс при помощи недокументированной функции "RegisterServiceProcess".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить троянский процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить ключ системного реестра (как работать с реестром?):

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"ZoneAlarm 2.99"="<полный_путь_к_файлу_троянца>"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"RegScan"="<полный_путь_к_файлу_троянца>"