@KTzone » 數碼 - 電腦用品 » 數碼 - 電腦教學寶庫 » 這兩天碰到的kavo系列病毒


2009-6-29 16:20 uo123
這兩天碰到的kavo系列病毒

基本上有一點變化,應該是另外有人寫的,不過行為模式一樣

會產生驅動程序klif.sys (沒錯就是klif.sys,偽裝成卡巴的驅動程序)
破壞部份防毒運作並修改explorer.exe的記憶體程序
然後下載病毒檔案並寫入登錄值 hkcu...run (中間懶的打) 內的字串值jvsoft
對應到檔案名稱%systemroot%\system32\j3ewro.exe,並產生動態連結檔jwedsfdo0.dll (do0-do9)
除了隔幾秒鐘記憶體程序被修改的explorer.exe會一直產生autorun.inf以及對應的檔案以外,另外再分析的時候有抓到幾組IP,google了一下應該是盜RO帳密的木馬

IP如下:
61.220.60.36
61.220.62.116
61.220.56.147
61.220.56.132
61.220.62.30
61.220.62.25
203.69.46.166
203.69.46.167
220.130.113.238

清除方式...就和清除kavo一樣
第一步要先將explorer.exe關閉後再重新開啟
這個步驟沒做後面的基本上都沒什麼用處。

其他就照上述的將檔案刪除即可。

頁: [1]


Powered by Discuz! Archiver 5.5.0  © 2001-2006 Comsenz Inc.