广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 5369 个阅读者
04:00 ~ 4:30 资料库备份中,需等较久的时间,请耐心等候
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
krichard2007
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x16 鲜花 x15
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] KAVO 常见变种行为分析 及其预防
已知中毒症状
  1. 开启显示隐藏档或资料夹可是还是一样无法显示隐藏的档案或资料夹
  2. 进去我的电脑想要打开硬碟 如 C,D,E槽,却出现「选择程式来开启档案」
  3. 即时通登入后会自动关闭 (目前似乎已无此症状)
  4. 新的防毒软体无法安装
  5. 无法以正常进入安全模式
  6. 具有木马盗帐功能
  7. 网路驱动程式发生错误 导致无法连线
  8. 破坏卡巴斯基驱动 导致无法更新或某些防护出错

建立档案

C:\ ~ Z:\ 底下
autorun.inf
内容为复制程式
[AutoRun]
open=j.bat
;LeAKslswAs9ilql5wamwdJifqka6kjL2q22awaas43lla1o
shell\open\Command=j.bat
及 随机.exe .com .bat .cmd

因过多 所以不列出来...
在 %windir%\System32\ 一般是在 C:\WINDOWS\System32\
产生...
C:\WINDOWS\system32\uret463.exe
副产物 lhgjyit0~9.dll (存在中 持续变种 此为台湾最常见)
C:\WINDOWS\system32\kacsde.exe
副产物 godert0~9.dll (存在中 持续变种)
C:\WINDOWS\system32\rttrwq.exe
副产物 mkfght0~9.dll (存在中 持续变种)
C:\WINDOWS\system32\ierdfgh.exe
副产物 pytdfse0~9.dll (存在中 持续变种)
C:\WINDOWS\system32\oukdfgr.exe
副产物 bgdferw0~9.dll
副产物 hyrteas0~9.dll (存在中 持续变种)
C:\WINDOWS\system32\cvsdfw.exe
副产物 otrewe0~9.dll (存在中 持续变种)
C:\WINDOWS\system32\weidfsg.exe
副产物 dsewtds0~9.dll (存在中 持续变种)
C:\WINDOWS\system32\olhrwef.exe
副产物 afmain0~9.dll
副产物 nmdfgds0~9.dll (存在中 但不常见 国外流行)
C:\WINDOWS\system32\vamsoft.exe
副产物 ciuytr0~9.dll
副产物 vbsdfe0~9.dll
副产物 haozs0~9.dll (存在中 但不常见 国外流行)
C:\WINDOWS\system32\urretnd.exe
副产物 optyhww0~9.dll (存在中 持续变种)
C:\WINDOWS\system32\kavo.exe
副产物 kavo0~9.dll (目前已绝种)
C:\WINDOWS\system32\tavo.exe
副产物 tavo0~9.dll (目前已绝种)
C:\WINDOWS\system32\avpo.exe
副产物 avpo0~9.dll (目前已绝种)
C:\WINDOWS\system32\apvo.exe
副产物 apvo0~9.dll (目前已绝种)
C:\WINDOWS\system32\amvo.exe
副产物 amvo0~9.dll (目前已绝种)
C:\WINDOWS\system32\mmvo.exe
副产物 mmvo0~9.dll (目前已绝种)
C:\WINDOWS\system32\mnso.exe
副产物 mnso0~9.dll (目前已绝种)
C:\WINDOWS\system32\amwo.exe
amwo0~9.dll (目前已绝种)
C:\WINDOWS\system32\kxvo.exe
副产物 fool0~9.dll
副产物 ieso0~9.dll
副产物 pool0~9.dll
副产物 kxvo0~9.dll (目前已绝种)
C:\WINDOWS\system32\j3ewro.exe
副产物 jwedsfdo0~9.dll (目前已绝种)
C:\WINDOWS\system32\revo.exe
副产物 revo0~9.dll (目前已绝种)

其他副产物
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\Debug\***********.dll (英文+数字)
C:\WINDOWS\help\**************.dll (英文+数字)
C:\WINDOWS\system32\bitkv0~9.dll
C:\WINDOWS\system32\helpme.exe
C:\WINDOWS\system32\fly32.dll (已没有案例)
C:\WINDOWS\fly32.dll (已没有案例)
C:\WINDOWS\fly32.exe (已没有案例)

下载变种...
uret463.exe 变种动作
连至 h**p://rtgma.com/xjj/cc1.rar
下载 cc1.rar => cc.exe
建立 C:\WINDOWS\system32\kacsde.exe 并执行
连至 h**p://rtgma.com/xjj/ff1.rar
下载 ff1.rar => ff.exe
建立 C:\WINDOWS\system32\uret463.exe 并执行

ierdfgh.exe 变种动作
连至 h**p://13opd.com/xrbv/uu1.rar
下载 uu1.rar => uu.exe
建立 C:\WINDOWS\system32\ierdfgh.exe 并执行

oukdfgr.exe 变种动作
连至 h**p://16mju.com/hg2/ll.rar
下载 ll.rar => ll.exe => C:\WINDOWS\hg.exe
建立 C:\WINDOWS\system32\oukdfgr.exe 并执行

urretnd.exe 变种动作
连至 h**p://dfvg2.com/fm4/help.rar
下载 help.rar => help.exe
建立 C:\WINDOWS\system32\urretnd.exe 并执行

rttrwq.exe 变种动作
连至 h**p://dfg4r.com/jj/cc.rar
下载 cc.rar => cc.exe => C:\WINDOWS\tt.exe
建立 C:\WINDOWS\system32\cvsdfw.exe 并执行
连至 h**p://dfg4r.com/jj/ff.rar
下载 ff.rar => ff.exe => C:\WINDOWS\2.exe
建立 C:\WINDOWS\system32\rttrwq.exe 并执行

weidfsg.exe 变种动作
连至 h**p://vfqa4.com/rbv/uu.rar
下载 uu.rar => uu.exe
建立 C:\WINDOWS\system32\weidfsg.exe 并执行

olhrwef.exe 变种动作
连至 h**p://hgtr3.com/xmfx/help1.rar
下载 help1.rar => help.exe
建立 C:\WINDOWS\system32\olhrwef.exe 并执行
----------------------------------------------------
.....国外还有许多种 但因台湾少见 因此不发表
以上档案通常在 C:\Documents and Settings\"使用者名称"\Local Settings\Temp

调用进程
explorer.exe
dllhost.exe
IEXPLORE.EXE

注册资料新增(更改)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"dorfgwe" = "C:\WINDOWS\system32\uret463.exe"
"anhtaaa" = "C:\WINDOWS\system32\kacsde.exe"
"kxswsoft" = "C:\WINDOWS\system32\ierdfgh.exe"
"hjdsdse" = "C:\WINDOWS\system32\oukdfgr.exe"
"cbvcs" = "C:\WINDOWS\system32\urretnd.exe"
"ertyuop" = "C:\WINDOWS\system32\rttrwq.exe"
"anhtaas" = "C:\WINDOWS\system32\cvsdfw.exe"
"nhkletd" = "C:\WINDOWS\system32\weidfsg.exe"
"cdoosoft" = "C:\WINDOWS\system32\olhrwef.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue =dword:0x00000000 (无法显示隐藏档)
更狠一点
会把 CheckedValue 这个 REG_DWORD 值 直接删掉
建立 冒牌的 CheckedValue REG_SZ 值

破坏驱动
c:\windows\system32\drivers\tdi.sys
c:\windows\system32\drivers\psched.sys
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\drivers\vga.sys (导致无法进入安全模式)
c:\windows\system32\drivers\klif.sys (导致卡巴无法正常更新)
c:\windows\system32\cdplay.sys

IP 来源...
h**p://rtgma.com/xjj/cc1.rar
h**p://rtgma.com/xjj/ff1.rar
- 221.1.222.109 (山东省菏泽市 中电网通IDC)
h**p://13opd.com/xrbv/uu1.rar
- 221.1.204.245 (山东省菏泽市 网通)
h**p://16mju.com/hg2/ll.rar
- 221.1.204.245 (山东省菏泽市 网通)
h**p://dfvg2.com/fm4/help.rar
- 221.1.204.243 (山东省菏泽市 网通)
h**p://dfg4r.com/jj/cc.rar
h**p://dfg4r.com/jj/ff.rar
- 221.1.222.109 (山东省菏泽市 中电网通IDC)
h**p://vfqa4.com/rbv/uu.rar
- 221.1.204.245 (山东省菏泽市 网通)
h**p://hgtr3.com/xmfx/help1.rar
- 221.1.204.243 (山东省菏泽市 网通)

好神奇呀
这些 ip的来源 居然都是 山东省菏泽市

预防方法
如果随身碟中有autorun.inf
打开随身碟 即会打开 autorun.inf 所指定的档案
autorun.inf 的内容通常是
复制程式
[AutoRun]
open=病毒档名
shell\open\Command=病毒档名
shell\explore\Command=病毒档名
也就是指双击随身碟时
自然而然就把病毒给打开了

我们可以利用 Windows键 + E 叫出档案总管
利用旁边的树状资料夹开启随身碟


或着是更改注册表 来达到禁用 自动播放的效果
我们可以使用批处理 来达到更改注册表的目的
打开记事本 复制以下指令复制程式
@echo off
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveAutoRun /t REG_BINARY /d ffffff03 /f>nul 2>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
taskkill /im explorer.exe /f >nul 2>nul
start explorer.exe >nul 2>nul
exit
把它存成 123.bat 后执行即可
这样子病毒就无法利用 autorun.inf 入侵您的电脑了...
此外可以在您的随身碟 放置一个名为autorun.inf的资料夹
这样也可以阻挡病毒把autorun.inf复制到您的随身碟...

档案方面
有两种预防方法
一个是 IFEO Image Hijack 另一个是 利用资料夹阻挡
但是两种各有各的缺点

IFEO 的用法是
一样可以用批处理的方式
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\你要劫持的程序" /v "debugger" /d %windir%\system32\svchost.exe /f
Ex.
如果你想劫持 aa.exe
就这样写...
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aa.exe" /v "debugger" /d %windir%\system32\svchost.exe /f
以此类推
这样的效果是 如果开启aa.exe 就会转向开启 svchost.exe
此时病毒就无法使用
但是有个缺点
那就是如果有个正常的档名是 aa.exe
将会导致他无法开启
所以我不建议使用

另一个方法是用资料夹档病毒
就是在病毒会产生的地方
放一个同档名的资料夹
让病毒无法复制到那里...
用这种方法也可以防止变种
在 C:\Documents and Settings\"使用者名称"\Local Settings\Temp\
底下
放置
aa.exe
cc.exe
ff.exe
ee.exe
help.exe
ll.exe
uu.exe
zz.exe
即可抑制kavo变种
此方法也可以用在预防病毒本体...
例如 C:\WINDOWS\system32\uret463.exe
C:\WINDOWS\system32\kacsde.exe
等等...

此外 KAVO 通常也会被夹在现在所流行的 Yahoo Mail 木马内...
所以养成良好的路习惯
不要随意打开信箱内的夹带档案
打开前可以问一下对方 是否有寄这个东西

这样可以保护自己电脑使用上的安全

资料来源
By upside 和我的kavo实机测试经验
资料整理
By K.Richard 香菇小精灵

如有错误的地方请指教...
表情



献花 x0 回到顶端 [楼 主] From:欧洲 | Posted:2009-02-21 18:41 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.072402 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言