文件名称：kavo.exe

 

文件大小：116464 bytes

 

AV命名：

 

Trojan-PSW.Win32.OnLineGames.pcm（Kaspersky）

Trojan.PSW.Win32.GameOL.lor（Rising）

Worm/AutoRun.Y（AVG）

 

编写语言：delphi

 

文件MD5：3b08963e3b2cae9e3b4dc38b21b2a69d

 

病毒类型：盗号木马

 

行为分析：

 

1、  释放病毒文件：

 

C:\WINDOWS\system32\kavo.exe  113759 字节

C:\WINDOWS\system32\kavo0.dll  96768 字节

C:\WINDOWS\system32\kavo1.dll  96768 字节

 

2、  添加注册表，开机启动：

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

kava = REG_SZ, "C:\windows\system32\kavo.exe"

 

3、  修改注册表，记录下载地址的版本：

 

HKEY_CLASSES_ROOT\CLSID\MADOWN

当前为："cdfty1.7"

 

4、  启动IE进程，连接网络下载木马，释放：

 

C:\WINDOWS\system32\tavo.exe

C:\WINDOWS\system32\tavo0.dll

 

5、  tavo0.dll和kavo1.dll则注入系统进程，监视鼠标、键盘操作，盗取木马。

 

6、  释放驱动，随机命名的，然后删除自身。

 

7、  修改注册表，破坏显示隐藏文件功能。

 

8、遍历磁盘，生成病毒文件和autorun.inf

 

解决方法：

 

1、  下载SREng，然后断开网络连接。

 

2、  打开SREng，删除注册表键：

 

(注册表值) kava和(注册表值) tava

 

3、  重启计算机，删除文件：

 

C:\WINDOWS\system32\kavo.exe  113759 字节

C:\WINDOWS\system32\kavo0.dll  96768 字节

C:\WINDOWS\system32\kavo1.dll  96768 字节

C:\WINDOWS\system32\tavo.exe

C:\WINDOWS\system32\tavo0.dll

 

还有每个磁盘下的autorun.inf和病毒文件，也删除，建议用winrar

 

4、  其他：

 

修改注册表修复显示隐藏文件功能:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

       (*)(注册表值) Hidden

        REG_DWORD, 2 修改为 REG_DWORD, 1

       (*)(注册表值) ShowSuperHidden

        REG_DWORD, 0 修改为 REG_DWORD, 1

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

       (*)(注册表值) CheckedValue

        REG_DWORD, 0修改为 REG_DWORD, 1

谢谢查阅本文结束