Trojan/Win32.KillAV.calArcBomb是一种后门型病毒，该病毒为包裹文件，病毒运行后释放"kk.exe"、"kk.dll"病毒文件到%System32%目录下。

病毒标签

病毒描述

行为分析-本地行为

清除方案

病毒标签

病毒名称： Trojan/Win32.KillAV.cal[ArcBomb]

病毒类型： 后门

文件 MD5： 050967D2109531BBB4698DFA838C98A9

公开范围： 完全公开

危害等级： 4

文件长度： 72,731 字节

感染系统： Windows98以上版本

加壳类型： WinUpack 0.39 final -> By Dwing [Overlay]

病毒描述

kk.exe行为分析：病毒运行后，休眠5秒后调用cmd.exe使用rundll32.exe启动"kk.dll"病毒文件，创建病毒驱动文件到%System32%\\drivers目录下，重命名为"GanDiao.sys"。

kk.dll行为分析：添加注册表病毒服务，遍历进程查找avp.exe，关闭卡巴事件硬编码，遍历进程查找部分安全软件进程，如找到则强行关闭其进程。

GanDiao.sys行为分析：该病毒驱动文件主要负责，删除部分安全软件服务。

行为分析-本地行为

1、文件运行后会释放以下文件

%system32%\\kk.exe

%system32%\\kk.dll

%System32%\\drivers\\GanDiao.sys

2、kk.exe行为分析：病毒运行后，休眠5秒后调用cmd.exe使用rundll32.exe启动"kk.dll"病毒文件，创建病毒驱动文件到%System32%\\drivers目录下，重命名为"GanDiao.sys"。

3、修改注册表、添加注册表启动项、创建病毒服务

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\GanDiao\\DisplayName

值: 字符串: "GanDiao"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\GanDiao\\ImagePath

值: 字符串: "\\??\\C:\\WINDOWS\\system32\\drivers\\GanDiao.sys."

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\GanDiao\\Start

值: DWORD: 3 (0x3)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\GanDiao\\Type

值: DWORD: 1 (0x1)

描述：添加注册表病毒服务

4、kk.dll行为分析：添加注册表病毒服务，遍历进程查找avp.exe，关闭卡巴事件硬编码，遍历进程查找以下安全软件进程，如找到则强行关闭其进程。

rsmain.exe scanfrm.exe rsnetsvr.exe safeboxtray.exe 360safe.exe360safebox.exe 360tray.exe antiarp.exe ekrn.exeegui.exe ravmon.exe ravmond.exeravtask.exe ccenter.exe ravstub.exe rstray.exe rav.exe rsaupd.exe agentsvr.exe ccenter.exe qqdoctor.exe drrtp.exe mcproxy.exe mcshield.exe mpfsrv.exe pccguide.exe zonealarm.exe zonealarm.exe wink.exe wfindv32.exe webtrap.exe webscanx.exe webscan.exe vsstat.exe vshwin32.exe vsecomr.exe vir.exe vettray.exe tsc.exe tmproxy.exe tmoagent.exe tmntsrv.exe tca.exe tbscan.exe spy.exe smc.exe secu.exe serv95.exe scrscan.exe scon.exe scanpm.exe scan32.exe scan.exe safeweb.exe rfw.exe rfwmain.exe rfwstub.exe rfwsrv.exe rfwproxy.exe rescue32.exe mon.exe mcafee.exe kvmonxp.exe krf.exe kvprescan.exekppmain.exe kpfwsvc.exe kpfw32.exe kavstart.exekav32.exe kasmain.exe kabackreport.exe jed.exe

5、GanDiao.sys行为分析：该病毒驱动文件主要负责，删除部分安全软件服务。

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是%WINDOWS%\\System

windowsXP中默认的安装路径是%system32%

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1） 停止病毒服务，删除以下病毒文件

%system32%\\kk.exe

%system32%\\kk.dll

%System32%\\drivers\\GanDiao.sys

（2）删除病毒添加的服务

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\GanDiao

删除Services键值下的GanDiao主键值