文件名稱：kavo.exe 
文件大?。?16464 bytes 

AV命名：  

Trojan-PSW.Win32.OnLineGames.pcm（Kaspersky）

Trojan.PSW.Win32.GameOL.lor（Rising）

Worm/AutoRun.Y（AVG）

 

編寫語(yǔ)言：delphi

 

文件MD5：3b08963e3b2cae9e3b4dc38b21b2a69d

 

病毒類型：盜號(hào)木馬

 

行為分析：

 

1、  釋放病毒文件：

 

C:\WINDOWS\system32\kavo.exe  113759 字節(jié)

C:\WINDOWS\system32\kavo0.dll  96768 字節(jié)

C:\WINDOWS\system32\kavo1.dll  96768 字節(jié)

 

2、  添加注冊(cè)表，開機(jī)啟動(dòng)：

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

kava = REG_SZ, "C:\windows\system32\kavo.exe"

 

3、  修改注冊(cè)表，記錄下載地址的版本：

 

HKEY_CLASSES_ROOT\CLSID\MADOWN

當(dāng)前為："cdfty1.7"

 

4、  啟動(dòng)IE進(jìn)程，連接網(wǎng)絡(luò)下載木馬，釋放：

 

C:\WINDOWS\system32\tavo.exe

C:\WINDOWS\system32\tavo0.dll

 

5、  tavo0.dll和kavo1.dll則注入系統(tǒng)進(jìn)程，監(jiān)視鼠標(biāo)、鍵盤操作，盜取木馬。

 

6、  釋放驅(qū)動(dòng)，隨機(jī)命名的，然后刪除自身。

 

7、  修改注冊(cè)表，破壞顯示隱藏文件功能。

 

8、遍歷磁盤，生成病毒文件和autorun.inf

 

解決方法：

 

1、  下載SREng，然后斷開網(wǎng)絡(luò)連接。

 

2、  打開SREng，刪除注冊(cè)表鍵：

 

(注冊(cè)表值) kava和(注冊(cè)表值) tava

 

3、  重啟計(jì)算機(jī)，刪除文件：

 

C:\WINDOWS\system32\kavo.exe  113759 字節(jié)

C:\WINDOWS\system32\kavo0.dll  96768 字節(jié)

C:\WINDOWS\system32\kavo1.dll  96768 字節(jié)

C:\WINDOWS\system32\tavo.exe

C:\WINDOWS\system32\tavo0.dll

 

還有每個(gè)磁盤下的autorun.inf和病毒文件，也刪除，建議用winrar

 

4、  其他：

 

修改注冊(cè)表修復(fù)顯示隱藏文件功能:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

       (*)(注冊(cè)表值) Hidden

        REG_DWORD, 2 修改為 REG_DWORD, 1

       (*)(注冊(cè)表值) ShowSuperHidden

        REG_DWORD, 0 修改為 REG_DWORD, 1

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

       (*)(注冊(cè)表值) CheckedValue

        REG_DWORD, 0修改為 REG_DWORD, 1

最新評(píng)論