今天使用迅雷的时候,发现刚一打开就会自动关闭,在网上也没找到解决办法。怀疑是中毒了,但是使用各种木马查杀软件均未发现异常,不过我看到有个叫做kavo.exe的东西在机子上,很是可疑,google一下发现果然来者不善。后没找到专杀软件,在这里看到有文章细述,测试还不错,虽然隐藏文件没解决,但是迅雷可以用了。
病毒行为分析:
一、文件行为:运行后各盘下生成copetttt.com文件和autorun.inf文件。均为隐藏。
然后修改注册表让所有隐藏文件无法显示,
Autorun代码如下:
[AutoRun]
;;ggggsssshell\open=Open(&O)
open=copetttt.com
shell\open\Command=copetttt.com
shell\open\Default=1
shell\explore\Command=copetttt.com
在windows\system32目录下生成文件kavo.exe和kavo0.dll..若运行时间久后也会产生kavo1.dll等一系列文件。
二、注册表行为;
1. 生成开机自启动项:kavo.exe;开机自动运行。
2. 改隐藏文件键值;让隐藏文件无法显示。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
病毒运行分析;
1.开机启动kavo.exe保护copetttt.com文件。当再删除copetttt.com及autorun.inf后又自动生成。但若先删除kavo.exe再删除copetttt.com和autorun.inf就OK了。
2.生成的kavo0.dll由于注入了explorer进程无法直接删除。可先结束explorer进程。然后就可删掉。
3.病毒的隐藏技术:该病毒运行后并不会产生新的进程。 原理是生成kavo0.dll注入explorer.exe. 用explorer监视器文件copetttt.com和autorun.inf。故杀毒时需在关闭explorer进程后进行。也因此该病毒极不易被发现。竟躲过了QQKAV。当用户一旦病毒体删除或插入U盘,病毒就立即生成新的。
杀毒方法:
这是个典型的小病毒。可按顺序找到各个文件然后按顺序删除即可。还有病毒的启动项也清理一下。
写的杀毒代码如下:
@echo off
color 17
title 网服制作
cls
echo========================================================================
echo.
echo.
echo ++++++++++++++++++
echo + copetttt.com专杀 +
echo ++++++++++++++++++
echo.
echo.
echo.
echo.
echo 欢迎使用
echo.
echo 使用过程中可能会需要几分钟,请耐心等待。
echo 成功后会自动退出。
echo.
echo.
echo========================================================================
@echo off
taskkill /im explorer.exe /f
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (attrib -r -s -h -a /D /S %%a:\autorun.inf>nul 2>nul)
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (attrib -r -s -h -a /D /S %%a:\copetttt.com>nul 2>nul)
Reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v checkedvalue /f
Reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v checkedvalue /t REG_DWORD /d 1 /f
Reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v kava /f >nul 2>nul
Reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v kavo /f >nul 2>nul
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavo.exe" /v debugger /d "wf制作,请保留" /f
Reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\copetttt.com" /v debugger /d "wf制作,请保留" /f
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (del %%a:\copetttt.com>nul 2>nul)
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (del %%a:\autorun.inf>nul 2>nul)
Del /q /a /f %windir%\system32\kavo*.* >nul 2>nul
Start explorer
Echo 杀毒完成,欢迎使用。
为防止病毒再次发生,其中可修改注册表时给病毒体生成了映象劫持,即其中绿色字体。这样以后就永远不会再中这个毒了。如果觉得这样做没必要可把绿色代码删除即可。
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=1256868