Trojan.MSIL.KILLAV.C

2025年7月29日

分析者: Raighen Sanchez

Trojan:MSIL/Disabler!rfn (MICROSOFT)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
没有
In the Wild:
是的

概要

感染途徑: 从互联网下载、由其他恶意软件释放

该木马通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

它不具备任何传播功能。

它不具备任何后门功能。

它不具备任何信息窃取功能。

技术详细信息

文件大小: 20,480 bytes

报告日期: DLL

内存驻留: 没有

初始樣本接收日期: 2025年7月18日

Payload: Terminates processes, 修改系统注册表

Arrival Details

该木马通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

Installation

该木马会添加以下进程：

powershell Set-MpPreference -DisableRealtimeMonitoring $true
powershell Set-MpPreference -DisableBehaviorMonitoring $true
powershell Set-MpPreference -DisableBlockAtFirstSeen $true
powershell Set-MpPreference -DisableIOAVProtection $true
powershell Set-MpPreference -DisablePrivacyMode $true
powershell Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine $true
powershell Set-MpPreference -DisableArchiveScanning $true
powershell Set-MpPreference -DisableIntrusionPreventionSystem $true
powershell Set-MpPreference -DisableScriptScanning $true
powershell Set-MpPreference -SubmitSamplesConsent 2
powershell Set-MpPreference -MAPSReporting 0
powershell Set-MpPreference -HighThreatDefaultAction 6 -Force
powershell Set-MpPreference -ModerateThreatDefaultAction 6
powershell Set-MpPreference -LowThreatDefaultAction 6
powershell Set-MpPreference -SevereThreatDefaultAction 6

其他系统修改

该木马程序会修改以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Features
TamperProtection = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableBehaviorMonitoring = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableOnAccessProtection = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableScanOnRealtimeEnable = 1

Propagation

该木马程序不具备任何传播功能。

Backdoor Routine

该木马程序不具备任何后门功能。

Rootkit Capabilities

该木马程序不具备Rootkit功能。

进程终止

若在受感染系统的内存中发现以下进程正在运行，该木马会将其终止：

MBSetup.exe
avg_free_antivirus_setup.exe
avast_internet_security_setup.exe
MCAFEE_INSTALLER.exe
MCPR.exe
Setup.exe
kis21.0.1.235de-1G.exe
bitdefender_online.exe
NSDownloader.exe
avast_free_antivirus_setup_online.exe
avast.exe
AVG.exe
McAfee.exe
AhnLab-V3.exe
AlibabaSetup.msi
AviraNoCloudInstaller.exe
BaiduProtection.exe
ClamAVInstaller.exe
CMCSetup.exe
CybereasonProtection.msi
DrWebSetup.exe
ESET-NOD32Installer.exe
GridinsoftNoCloudSetup.exe
IkarusProtection.exe
JiangminInstaller.msi
K7AntiVirusSetup.exe
K7GWInstaller.exe
NANO-AntivirusSetup.exe
PaloAltoNetworksInstaller.msi
QuickHealSetup.exe
SUPERAntiSpywareInstaller.exe
TACHYONSetup.exe
TEHTRISInstaller.msi
TencentProtection.exe
VBA32Setup.exe
VirITInstaller.msi
ViRobotSetup.exe
WebrootInstaller.exe
WithSecureSetup.msi
XcitiumInstaller.exe
YandexProtectionSetup.exe
ZillyaInstaller.msi
ZonerSetup.exe
AvastMobileInstaller.apk
TrendMicro-HouseCall.exe
VIPRESetup.exe
VaristInstaller.msi
TrendMicroInstaller.exe
TrellixFireEyeSetup.exe
SymantecSetup.exe
SophosInstaller.exe
SkyhighSWGSetup.exe
SentinelOneStaticMLInstaller.exe
SecureAgeSetup.exe
SangforEngineZeroInstaller.msi
RisingSetup.exe
PandaInstaller.exe
MaxSecureSetup.exe
MAXInstaller.exe
LionicSetup.exe
KingsoftInstaller.exe
GDataSetup.exe
eScanInstaller.exe
EmsisoftSetup.exe
ElasticInstaller.exe
DeepInstinctSetup.exe
CynetInstaller.msi
CylanceSetup.exe
CrowdStrikeFalconSetup.exe
BkavProInstaller.exe
BitDefenderThetaSetup.exe
BitDefenderInstaller.exe
Antiy-AVLSetup.exe
ArcabitInstaller.exe
ALYacSetup.exe
SystemSettingsAdminFlows.exe

Information Theft

该木马程序不具备任何信息窃取功能

其他信息

该木马程序会执行以下操作：

It checks if the current user has administrator privileges.
It checks for the presence drivers\etc\hosts in the system.
It checks for installed security-related services by using the following format:
- 127.0.0.1 {domain name}
- 127.0.0.1 www.{domain name}
It checks for the following domain names:
- virustotal.com
- avast.com
- totalav.com
- scanguard.com
- totaladblock.com
- pcprotect.com
- mcafee.com
- bitdefender.com
- us.norton.com
- avg.com
- malwarebytes.com
- pandasecurity.com
- avira.com
- norton.com
- eset.com
- zillya.com
- kaspersky.com
- usa.kaspersky.com
- sophos.com
- home.sophos.com
- adaware.com
- bullguard.com
- clamav.net
- drweb.com
- emsisoft.com
- f-secure.com
- zonealarm.com
- trendmicro.com
- ccleaner.com
- gdata.de
- arcabit.com
- ahnlab.com
- securelist.com
- quickheal.com
- vipre.com
- cyren.com
- comodo.com
- fortinet.com
- ikarussecurity.com
- maxsecureantivirus.com
- baidu.com
- antiy.net
- kingsoft.com
- superantispyware.com
- spybot.info
- pcmatic.com
- hitmanpro.com
- sophoshome.com
- defender-pro.com
- norman.com
- webroot.com
- qihoo.com
- tencent.com
- baesystems.com
- carbonblack.com
- reasonlabs.com
- lenovo.com
- cyradar.com
- intego.com
- panda.com
- surfshark.com
- webroot.com
- nordvpn.com

它不会利用任何漏洞。

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 20.360.03

VSAPI 第一样式发布日期: 2025年7月29日

VSAPI OPR样式版本: 20.361.00

VSAPI OPR样式发布日期: 2025年7月30日

Step 1

亚信安全测性机器学习可在恶意软件初现时、尚未在系统执行前便及时检测并拦截。启用此功能后，您的亚信安全产品会使用以下机器学习命名标识检测该恶意软件：

Troj.Win32.TRX.XXPE50FFF095

Step 2

在进行任何扫描之前，Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作：禁用 系统还原 以便对电脑进行全面扫描。

Step 3

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 4

还原已修改注册表值。

[ 更多 ]

Important: 编辑 Windows Registry 操作不当可能导致系统出现无法恢复的故障。请务必仅在您熟悉相关步骤的情况下执行；如有疑问，可寻求系统管理员的协助。否则，请查看下方链接。 Microsoft article 修改计算机注册表前请务必先进行此操作.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
- TamperProtection = 0
- TamperProtection = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1
- DisableAntiSpyware = 0
In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
- DisableBehaviorMonitoring = 1
- DisableBehaviorMonitoring = 0
In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
- DisableOnAccessProtection = 1
- DisableOnAccessProtection = 0
In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
- DisableScanOnRealtimeEnable = 1
- DisableScanOnRealtimeEnable = 0

请按以下步骤操作=

要恢复被该恶意/灰色软件修改的注册表值，请执行以下操作：

打开注册表编辑器。
» 对于 Windows 7 和 Server 2008 (R2) 用户，请点击 Start button, type regedit in the Search输入字段，然后按下Enter.
» 对于 Windows 8、8.1、10 及 Server 2012 (R2) 用户，请右键单击屏幕左下角，点击 Run, type regedit 在提供的文本框中，然后点击 Enter.
在左侧面板中，双击以下项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
在右侧面板中，找到注册表值：
TamperProtection = 0
Right-click on the value name 并选择“修改”。更改 value data of this entry to:
TamperProtection = 1
在左侧面板中，双击以下项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
在右侧面板中，找到注册表值：
DisableAntiSpyware = 1
Right-click on the value name 并选择“修改”。更改 value data of this entry to:
DisableAntiSpyware = 0
在左侧面板中，双击以下项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
在右侧面板中，找到注册表值：
DisableBehaviorMonitoring = 1
Right-click on the value name 并选择“修改”。更改 value data of this entry to:
DisableBehaviorMonitoring = 0
Again 在右侧面板中，找到注册表值：
DisableOnAccessProtection = 1
Right-click on the value name 并选择“修改”。更改 value data of this entry to:
DisableOnAccessProtection = 0
Again 在右侧面板中，找到注册表值：
DisableScanOnRealtimeEnable = 1
Right-click on the value name 并选择“修改”。更改 value data of this entry to:
DisableScanOnRealtimeEnable = 0
关闭注册表编辑器。

Step 5

使用您的亚信安全产品扫描电脑，删除被检测为以下名称的文件 Trojan.MSIL.KILLAV.C. 若亚信安全产品已将检测到的文件清除、删除或隔离，则无需再执行任何额外步骤；您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面：