30.11.2007
Trojan.Win32.KillAV.cn
Небольшая троянская программа, предназначена для борьбы с антивирусами, Firewall и антивирусными утилитами. Размер исполняемого файла около 5 кб. В случае запуска скрытно выполняет следующие действия:
1. Создает на диске драйвер C:\WINDOWS\system32\unpr.sys размером 2.5 кб (данный файл хранится в теле Трояна)
2. Регистрирует драйвер через стандартное API под именем UNPR, после чего завершает работу
Троян не загружает установленный драйвер, поэтому его загрузка пройдет только после перезагрузки компьютера. Драйвер осуществляет слежение за загрузкой без перехвата функций, при помощи документированного механизма уведомлений о загрузке PE файлов в память (LoadImageNotifyRoutine). Получив уведомление о запуске процесса драйвер сравнивает имя исполняемого файла процесса с базой имен, имеющейся в драйвере (в драйвере две базы – база имен EXE файлов и база имен драйверов). Обнаружив совпадение, драйвер открывает процесс и завешает его работу.
Троян блокирует работу процессов с именами: avp.exe avpm.exe avz.exe bdmcon.exe bdss.exe ccapp.exe ccevtmgr.exe cclaw.exe ccpxysvc.exe fsav32.exe fsbl.exe fsm32.exe gcasserv.exe iao.exe icmon.exe inetupd.exe issvc.exe kav.exe kavss.exe kavsvc.exe klswd.exe livesrv.exe mcshield.exe ms ssrv.exe nod32krn.exe nod32ra.exe pavfnsvr.exe rtvscan.exe savscan.exe zclient.exe
Как легко заметить, в базе троянского драйвера есть avz.exe, что приводит к блокировке его запуска. Защититься от этого просто – идентификация процесса идет по имени, поэтому для защиты достаточно переименовать исполняемый файл, дав ему случайное имя типа 123.exe. Для удаления троянского драйвера можно применить скрипт AVZ следующего вида:
begin
DeleteService('UNPR', true);
RebootWindows(true);
end.
