热门关键字:   操作系统 网络通信 病毒防御 网站建设 程序语言 电脑基础

kill.dll简单分析报告

发布时间:2018-10-31 13:11文章来源:未知文章作者: 点击次数:
摘要:报告发布时间:2009-10-31 病毒分析报告: kill.dll简单分析: 1.提权,为进程提升SeDebugPrivilege权限; 2.创建系统进程快照,查找CCENTER.EXE进程,如果存在,则运行以下命令行禁用瑞星的服务: cmd /c

报告发布时间:2009-10-31

病毒分析报告:
kill.dll简单分析:

1.提权,为进程提升"SeDebugPrivilege"权限;

2.创建系统进程快照,查找"CCENTER.EXE"进程,如果存在,则运行以下命令行禁用瑞星的服务:
"cmd /c sc config RavTask start= disabled"
"cmd /c sc config RsScanSrv start= disabled"
"cmd /c sc config RavTray start= disabled"
"cmd /c sc config RsRavMon start= disabled"
"cmd /c sc config RavCCenter start= disabled"

3.删除系统文件"C:\WINDOWS\system32\drivers\AsyncMac.sys",重新创建并写入文件,加载驱动服务,通过DeviceIoControl操作,试图结束安全软件进程:

创建系统进程快照,查找以下进程(经解密),找到则结束,并添加注册表创建映像劫持,指向系统svchost.exe进程:
avp.exe
safeboxTray.exe
360Safebox.exe
360tray.exe
antiarp.exe
ekrn.exe
RsAgent.exe
egui.exe
RavMon.exe
RavMonD.exe
RavTask.exe
AAglvgp,gzg
RavStub.exe
RsTray.exe
ScanFrm.exe
Rav.exe
AgentSvr.exe
AAglvgp,gzg
QQDoctor.exe
McProxy.exe
McNASvc.exe
Mcshield.exe
rsnetsvr.exe
MpfSrv.exe
MPSVC.EXE
MPSVC3.EXE
IKQQta,gzg
IKQQta,gzg
kmailmon.exe
KavStart.exe
KPFW32.EXE
KVMonXP.KXP
KVSrvXP.exe
ccSetMgr.exe
ccEvtMgr.exe
defwatch.exe
rtvscan.exe
ccapp.exe
vptray.exe
mcupdmgr.exe
mcproxy.exe
mcshield.exe
MPFSrv.exe
mcsysmon.exe
mcmscsvc.exe
mcnasvc.exe
mcagent.exe
mcshell.exe
mcinsupd.exe
bdagent.exe
livesrv.exe
vsserv.exe
xcommsvr.exe

如果发现进程"ekrn.exe"则运行:
"cmd /c sc config ekrn start= disabled"
"cmd /c taskkill /im ekrn.exe /f"

如果发现进程"avp.exe"则运行:
"cmd /c sc config avp start= disabled"
"cmd /c taskkill /im avp.exe /f"

如果发现进程"MPFSrv.exe"则运行:
"cmd /c sc config McNASvc start= disabled"
"cmd /c sc config MpfService start= disabled"
"cmd /c sc config McProxy start= disabled"
"cmd /c sc config McShield start= disabled"
"cmd /c sc config mcmscsvc start= disabled"
"cmd /c sc config Mcshield start= disabled"

如果发现进程"bdagent.exe"则运行:
"cmd /c sc config XCOMM start= disabled"
"cmd /c sc config LIVESRV start= disabled
"cmd /c sc config scan start= disabled"
"cmd /c sc config VSSERV start= disabled"

4.删除系统文件"C:\WINDOWS\system32\drivers\aec.SYS"搜索killdll.dll文件资源写入,加载驱动并开启,恢复SSDT,然后卸载驱动并删除文件;

5.删除系统注册表"SOFTWARE\Microsoft\Windows\CurrentVersion\Run"并重新建立,以达到破坏一些安全软件的启动项目;

6.CreateWindowExA创建一个窗口,激活并显示窗口;

 

 

上一篇:~Frm.exe简单分析报告
下一篇:m1.exe简单分析报告

热点推荐