# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Trojan.Win32.KillAV.cn - KernelMode троян

## Зайцев Олег

Небольшая троянская программа, предназначена для борьбы с антивирусами, Firewall и антивирусными утилитами. Размер исполняемого файла около 5 кб. В случае запуска скрытно выполняет следующие действия:
1. Создает на диске драйвер C:\WINDOWS\system32\unpr.sys размером 2.5 кб (данный файл хранится в теле Трояна)
2. Регистрирует драйвер через стандартное API под именем UNPR, после чего завершает работу

Троян не загружает установленный драйвер, поэтому его загрузка пройдет только после перезагрузки компьютера. Драйвер осуществляет слежение за загрузкой без перехвата функций, при помощи документированного механизма уведомлений о загрузке PE файлов в память (LoadImageNotifyRoutine). Получив уведомление о запуске процесса драйвер сравнивает имя исполняемого файла процесса с базой имен, имеющейся в драйвере (в драйвере две базы - база имен EXE файлов и база имен драйверов). Обнаружив совпадение, драйвер открывает процесс и завешает его работу.

Троян блокирует работу процессов с именами: avp.exe avpm.exe avz.exe bdmcon.exe bdss.exe ccapp.exe ccevtmgr.exe cclaw.exe ccpxysvc.exe fsav32.exe fsbl.exe fsm32.exe gcasserv.exe iao.exe icmon.exe inetupd.exe issvc.exe kav.exe kavss.exe kavsvc.exe klswd.exe livesrv.exe mcshield.exe msssrv.exe nod32krn.exe nod32ra.exe pavfnsvr.exe rtvscan.exe savscan.exe zclient.exe

Как легко заметить, в базе троянского драйвера есть avz.exe, что приводит к блокировке его запуска. Защититься от этого просто - идентификация процесса идет по имени, поэтому для защиты достаточно переименовать исполняемый файл, дав ему случайное имя типа 123.exe. Для удаления троянского драйвера можно применить скрипт AVZ следующего вида:
begin 
DeleteService('UNPR', true);
RebootWindows(true); 
end.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## [500mhz]

не креативно по имени процессы килять

----------


## borka

> не креативно по имени процессы килять


Есть другие варианты?

----------


## Muffler

Да и не один, например одна из версий этого зверька убивает АВ по заголвку окна...

----------


## borka

> Да и не один, например одна из версий этого зверька убивает АВ по заголвку окна...


М-да... И о чем я думал...  :Embarassed:

----------


## [500mhz]

заголовок тоже не панацея ) может же быть русская версия и англицкая
и соответственно заголовки будут разными
лучше сделать элементарную контрольну сумму куска кода , и места мало занимает и эффективно, и по ней килять процес

----------


## drongo

интересно, самозащита  каспера спасала, когда каспер его сигнатуру не знал или нет ?

----------


## [500mhz]

не думаю
он же не из ring3 киляет а из 0, а там все равны, шо каспер шо вирус

----------


## Surfer

По идее сначало надо обойти проактивку, чтобы установить драйвер.
Затем снять хуки, чтобы можно было кильнуть процесс. =))

----------


## Muffler

> По идее сначало надо обойти проактивку, чтобы установить драйвер.


Да, но насколько я знаю, это не проблема с проктивкой Касперского...

----------


## Jolly Rojer

> не думаю
> он же не из ring3 киляет а из 0, а там все равны, шо каспер шо вирус


+1 согласен логично!




> Да, но насколько я знаю, это не проблема с проктивкой Касперского...


+1 ! Хотелось бы услышать мнение DVI

----------


## DVi

> +1 ! Хотелось бы услышать мнение DVI


Лучше уж мнение Олега - у него уже есть испытательный стенд для препарирования зверька.

----------


## Jolly Rojer

> Да, но насколько я знаю, это не проблема с проктивкой Касперского...


DVI. я хотел услышать именно Ваш комментари именно относительно данной цитаты как оффициального представителя ЛК  :Wink: 




> Лучше уж мнение Олега - у него уже есть испытательный стенд для препарирования зверька.


Мнение Олега я в принципе уже знаю обсуждалось в привате с Олегом  и Олег это может подтвердить  :Wink:  (хотя конкретно мнение о драйвере не обсуждалось... просто его можно было получить по ходу логического рассуждения)  :Smiley:

----------


## DVi

> DVI. я хотел услышать именно Ваш комментари именно относительно данной цитаты как оффициального представителя ЛК


У меня нет испытательного стенда, поэтому я не могу никак прокомментировать эту цитату. Возможно, ее сможет прокомментировать сам Muffler.

Судя по тесту Олега (и тому, что он написал мне в приват), действия, совершаемые этим зверьком, успешно пресекаются и проактивкой, и самозащитой работающего на компьютере KAV/KIS7.

----------


## vaber

> Да, но насколько я знаю, это не проблема с проктивкой Касперского...


Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.

----------


## [500mhz]

> Проверка WOWLoader
> Автором был предоставлен билд и админка. Билд удачно отработал на WinХРsp2
> Размер: 13,5кб
> Упакованого: 7кб
> 
> avcheck.biz
> VirusBuster 4.3.23:9 2007-11-19 18:25:21 ok 
> BitDefender v7.60825 2007-11-20 142 ok 
> DrWeb 4.33.0.09211 2007-11-20 14:47:11 ok 
> ...


в тему про проактивку
проверялось данное малваре 10 дней назад
http://:http://forum.web-hack.ru/ind...0&#entry564888

ждем коментов от девелоперов проактивки

----------


## Зайцев Олег

> Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.


Совершенно верно - конкретно на этого зловреда проактивка KIS дает алерт "Перехвачена попытка создания значения в ключе системного реестра, который входит в группу System Services..."

----------


## Surfer

> ждем коментов от девелоперов проактивки


Как говорят девелоперы, им нужны факты  :Smiley: 

Кстати есть довольно прилично методов обхода, популярный пример - говяный rku последних версий, ставит свой поганый драйвер втихую, проактивка молчит.

----------


## DVi

> forum.web-hack.ru/index.php?showtopic=67412
> Оценивание производят независимые эксперты: *Maestro, el- и 500mhz*.


Независимый эксперт *500mhz* может дать зверька нам? На экспертизу.

----------


## Muffler

> Возможно, ее сможет прокомментировать сам Muffler.


Не секрет что есть несколько способов обхода проактивной защиты КИС и КАВ(которые мы здесь не будем называть и обсуждать - не тот форум) на которые не обращает внимания ЛК.




> Просто не просто, а большая часть малвар при инсталляции драйвера палятся проактивкой - будь то поведенческий анализ, будь то монитор реестра.


Да, это правда.




> Независимый эксперт 500mhz может дать зверька нам? На экспертизу.


Хм... После такой фразы напрашивается вопрос, а вам(разработчикам) за что деньги платят? Тем более это уже давно публично описано и реализовано...

----------


## [500mhz]

э нет, мы как независимые эксперты соблюдаем прайвази клиентов а так же ихние наработки и сикреты )

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## vaber

> Не секрет что есть несколько способов обхода проактивной защиты КИС и КАВ(которые мы здесь не будем называть и обсуждать - не тот форум) на которые не обращает внимания ЛК.


Обращает  :Wink: . Надеюсь, что в восьмерке все те способы,которые реализованы в теперешнем ITW будет возможность блокировать.

----------


## [500mhz]

ох уж это извечное противостояние )
ну и в 8 ченить найдется что может пригодится для наших корыстно чорных целей )

----------


## DVi

> а вам(разработчикам) за что деньги платят? Тем более это уже давно публично описано и реализовано...


Разработчики обычно заняты рутиной (особенно в периоды *между* выпусокм новых версий продуктов). Исследовательскими проблемами и активным исследованием перспективных малвар они имеют возможность заниматься только в период активных разработок новых фич.
Поэтому закрывать дырки, нащупаные малварщиками в текущей реализации проактивки, эффективнее всего получается, превратив эти дырки в рутину: т.е. воспроизведя дырку на реальном семпле в тестлабе и записать багу высокого приоритета.

Именно поэтому я и прошу семпл для опытов в тестлабе.

----------


## [500mhz]

DVi
ну дык оно же продается разделе продаж
сходите в бухгалтерию и попрасите денег (WMZ) на научные изыскания и все )
неужели к вас нет статьи расходов на исследования?
ну если что то спишите как представительские )

----------


## Jolly Rojer

Muffler Вы полностью ответили на мой вопрос выше за что большое спасибо  :Smiley: 
Ваш комментарий удовлетворил меня полностью!

*Добавлено через 55 секунд*




> DVi
> ну дык оно же продается разделе продаж
> сходите в бухгалтерию и попрасите денег (WMZ) на научные изыскания и все )
> неужели к вас нет статьи расходов на исследования?
> ну если что то спишите как представительские )


 +1  :Wink:

----------

