Trojan/KillAV.yi“AV杀手”变种yi采用高级语言编写,并且经过 加壳保护处理。运行后,会在被感染计算机系统中创建“%SystemRoot%\MyLover\”目录,将自我复制到其中,并重新命名为 “MyLoverMain.exe”。释放具有“系统、隐藏”属性的恶意DLL组件“MyLoverDLL.dat”和恶意驱动程序 “MyLoverSYS.dat”于该目录下,并且会将系统正常驱动文件“beep.sys”替换为“MyLoverSYS.dat”,同时利用鼠标点击 模拟的方式关闭系统弹出的“Windows 文件保护”提示窗口,蒙蔽了被感染计算机的用户。
“AV杀手”变种yi会修改指定注册表键值,关闭某些安全软件的监控,并利用恶意驱动程序“MyLoverSYS.dat”关闭安全软件的自保护功能,从而十分轻易地便可结束其进程,致使用户的计算机系统失去安全软件的保护。
“AV杀手”变种yi将恶意代码注入到“explorer.exe”进程中加载运行,以此隐藏自我,防止被发现和查杀。“AV杀手”变种yi在运行完毕后,会调用批处理文件将自身删除,以此消除痕迹。
同时,“AV杀手”变种yi还会根据骇客指定站点上的配置文件“http://qq.qq**1.com/xin/version.gif”进行自我更新,提高了躲避杀毒软件查杀的能力。
另外,“AV杀手”变种yi会在被感染计算机中注册名为“Network Service”的系统服务并以此实现开机自启。
本文来源:赛迪网 作者:佚名