Trojan.Win32.KillAV.amx(vmdetdhc.exe、beep.sys)分析与解决方案

超级巡警团队监测到恶意程序Trojan.Win32.KillAV.amx，该病毒释放副本到系统文件夹下，添加注册表自启动项，释放驱动文件 beep.sys替换系统的文件，屏蔽杀毒软件主动防御，并且可对病毒进行升级更新。超级巡警团队提醒广大用户及时更新病毒库，对该程序进行有效查杀。

一、病毒相关分析：

              病毒标签：
              病毒名称：Trojan.Win32.KillAV.amx
              病毒类型：木马
              危害级别：3
              感染平台：Windows
              病毒大小：35,328字节
              SHA1　： CEEB3BCB0901C2B577E382F749EF805B9BED93A5
              加壳类型：UPX
              开发工具：Borland Delphi

              病毒行为：
              1、病毒运行以后释放副本和其他病毒。
                   %system%vmdetdhc.exe
                   %Temp%DFJIOPS4849.tmp
                   %Temporary Internet Files%Content.IE5WP2FCTIVdown333[1].txt

              2、添加注册表项，实现开机病毒自启动。
                   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "vmdetdhc.exe"
                   Type: REG_SZ
                   Data: C:WINDOWSsystem32vmdetdhc.exe

3、调用sfc_os.dll下的第五号函数，关闭windows文件保护，将病毒文件beep.sys复制到%system%drivers文件夹下替换正常的beep.sys，病毒文件beep.sys的作用是屏蔽杀毒软件的主动防御。

              4、下载更新文档，该文档可对病毒实时更新，并且弹出广告窗口，干扰用户正常使用计算机。
                    更新文档：http://aa.9***.net:82/down333.txt
                    更新的病毒：http://218.22.***.43:81/466515.exe

二、解决方案

推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
超级巡警下载地址：http://www.sucop.com/download/16.html

顶一下

共有条评论