廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 5371 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
krichard2007
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x16 鮮花 x15
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] KAVO 常見變種行為分析 及其預防
已知中毒症狀
  1. 開啟顯示隱藏檔或資料夾可是還是一樣無法顯示隱藏的檔案或資料夾
  2. 進去我的電腦想要打開硬碟 如 C,D,E槽,卻出現「選擇程式來開啟檔案」
  3. 即時通登入後會自動關閉 (目前似乎已無此症狀)
  4. 新的防毒軟體無法安裝
  5. 無法以正常進入安全模式
  6. 具有木馬盜帳功能
  7. 網路驅動程式發生錯誤 導致無法連線
  8. 破壞卡巴斯基驅動 導致無法更新或某些防護出錯

建立檔案

C:\ ~ Z:\ 底下
autorun.inf
內容為複製程式
[AutoRun]
open=j.bat
;LeAKslswAs9ilql5wamwdJifqka6kjL2q22awaas43lla1o
shell\open\Command=j.bat
及 隨機.exe .com .bat .cmd

因過多 所以不列出來...
在 %windir%\System32\ 一般是在 C:\WINDOWS\System32\
產生...
C:\WINDOWS\system32\uret463.exe
副產物 lhgjyit0~9.dll (存在中 持續變種 此為台灣最常見)
C:\WINDOWS\system32\kacsde.exe
副產物 godert0~9.dll (存在中 持續變種)
C:\WINDOWS\system32\rttrwq.exe
副產物 mkfght0~9.dll (存在中 持續變種)
C:\WINDOWS\system32\ierdfgh.exe
副產物 pytdfse0~9.dll (存在中 持續變種)
C:\WINDOWS\system32\oukdfgr.exe
副產物 bgdferw0~9.dll
副產物 hyrteas0~9.dll (存在中 持續變種)
C:\WINDOWS\system32\cvsdfw.exe
副產物 otrewe0~9.dll (存在中 持續變種)
C:\WINDOWS\system32\weidfsg.exe
副產物 dsewtds0~9.dll (存在中 持續變種)
C:\WINDOWS\system32\olhrwef.exe
副產物 afmain0~9.dll
副產物 nmdfgds0~9.dll (存在中 但不常見 國外流行)
C:\WINDOWS\system32\vamsoft.exe
副產物 ciuytr0~9.dll
副產物 vbsdfe0~9.dll
副產物 haozs0~9.dll (存在中 但不常見 國外流行)
C:\WINDOWS\system32\urretnd.exe
副產物 optyhww0~9.dll (存在中 持續變種)
C:\WINDOWS\system32\kavo.exe
副產物 kavo0~9.dll (目前已絕種)
C:\WINDOWS\system32\tavo.exe
副產物 tavo0~9.dll (目前已絕種)
C:\WINDOWS\system32\avpo.exe
副產物 avpo0~9.dll (目前已絕種)
C:\WINDOWS\system32\apvo.exe
副產物 apvo0~9.dll (目前已絕種)
C:\WINDOWS\system32\amvo.exe
副產物 amvo0~9.dll (目前已絕種)
C:\WINDOWS\system32\mmvo.exe
副產物 mmvo0~9.dll (目前已絕種)
C:\WINDOWS\system32\mnso.exe
副產物 mnso0~9.dll (目前已絕種)
C:\WINDOWS\system32\amwo.exe
amwo0~9.dll (目前已絕種)
C:\WINDOWS\system32\kxvo.exe
副產物 fool0~9.dll
副產物 ieso0~9.dll
副產物 pool0~9.dll
副產物 kxvo0~9.dll (目前已絕種)
C:\WINDOWS\system32\j3ewro.exe
副產物 jwedsfdo0~9.dll (目前已絕種)
C:\WINDOWS\system32\revo.exe
副產物 revo0~9.dll (目前已絕種)

其他副產物
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\Debug\***********.dll (英文+數字)
C:\WINDOWS\help\**************.dll (英文+數字)
C:\WINDOWS\system32\bitkv0~9.dll
C:\WINDOWS\system32\helpme.exe
C:\WINDOWS\system32\fly32.dll (已沒有案例)
C:\WINDOWS\fly32.dll (已沒有案例)
C:\WINDOWS\fly32.exe (已沒有案例)

下載變種...
uret463.exe 變種動作
連至 h**p://rtgma.com/xjj/cc1.rar
下載 cc1.rar => cc.exe
建立 C:\WINDOWS\system32\kacsde.exe 並執行
連至 h**p://rtgma.com/xjj/ff1.rar
下載 ff1.rar => ff.exe
建立 C:\WINDOWS\system32\uret463.exe 並執行

ierdfgh.exe 變種動作
連至 h**p://13opd.com/xrbv/uu1.rar
下載 uu1.rar => uu.exe
建立 C:\WINDOWS\system32\ierdfgh.exe 並執行

oukdfgr.exe 變種動作
連至 h**p://16mju.com/hg2/ll.rar
下載 ll.rar => ll.exe => C:\WINDOWS\hg.exe
建立 C:\WINDOWS\system32\oukdfgr.exe 並執行

urretnd.exe 變種動作
連至 h**p://dfvg2.com/fm4/help.rar
下載 help.rar => help.exe
建立 C:\WINDOWS\system32\urretnd.exe 並執行

rttrwq.exe 變種動作
連至 h**p://dfg4r.com/jj/cc.rar
下載 cc.rar => cc.exe => C:\WINDOWS\tt.exe
建立 C:\WINDOWS\system32\cvsdfw.exe 並執行
連至 h**p://dfg4r.com/jj/ff.rar
下載 ff.rar => ff.exe => C:\WINDOWS\2.exe
建立 C:\WINDOWS\system32\rttrwq.exe 並執行

weidfsg.exe 變種動作
連至 h**p://vfqa4.com/rbv/uu.rar
下載 uu.rar => uu.exe
建立 C:\WINDOWS\system32\weidfsg.exe 並執行

olhrwef.exe 變種動作
連至 h**p://hgtr3.com/xmfx/help1.rar
下載 help1.rar => help.exe
建立 C:\WINDOWS\system32\olhrwef.exe 並執行
----------------------------------------------------
.....國外還有許多種 但因台灣少見 因此不發表
以上檔案通常在 C:\Documents and Settings\"使用者名稱"\Local Settings\Temp

調用進程
explorer.exe
dllhost.exe
IEXPLORE.EXE

註冊資料新增(更改)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"dorfgwe" = "C:\WINDOWS\system32\uret463.exe"
"anhtaaa" = "C:\WINDOWS\system32\kacsde.exe"
"kxswsoft" = "C:\WINDOWS\system32\ierdfgh.exe"
"hjdsdse" = "C:\WINDOWS\system32\oukdfgr.exe"
"cbvcs" = "C:\WINDOWS\system32\urretnd.exe"
"ertyuop" = "C:\WINDOWS\system32\rttrwq.exe"
"anhtaas" = "C:\WINDOWS\system32\cvsdfw.exe"
"nhkletd" = "C:\WINDOWS\system32\weidfsg.exe"
"cdoosoft" = "C:\WINDOWS\system32\olhrwef.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue =dword:0x00000000 (無法顯示隱藏檔)
更狠一點
會把 CheckedValue 這個 REG_DWORD 值 直接刪掉
建立 冒牌的 CheckedValue REG_SZ 值

破壞驅動
c:\windows\system32\drivers\tdi.sys
c:\windows\system32\drivers\psched.sys
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\drivers\vga.sys (導致無法進入安全模式)
c:\windows\system32\drivers\klif.sys (導致卡巴無法正常更新)
c:\windows\system32\cdplay.sys

IP 來源...
h**p://rtgma.com/xjj/cc1.rar
h**p://rtgma.com/xjj/ff1.rar
- 221.1.222.109 (山東省菏澤市 中電網通IDC)
h**p://13opd.com/xrbv/uu1.rar
- 221.1.204.245 (山東省菏澤市 網通)
h**p://16mju.com/hg2/ll.rar
- 221.1.204.245 (山東省菏澤市 網通)
h**p://dfvg2.com/fm4/help.rar
- 221.1.204.243 (山東省菏澤市 網通)
h**p://dfg4r.com/jj/cc.rar
h**p://dfg4r.com/jj/ff.rar
- 221.1.222.109 (山東省菏澤市 中電網通IDC)
h**p://vfqa4.com/rbv/uu.rar
- 221.1.204.245 (山東省菏澤市 網通)
h**p://hgtr3.com/xmfx/help1.rar
- 221.1.204.243 (山東省菏澤市 網通)

好神奇呀
這些 ip的來源 居然都是 山東省菏澤市

預防方法
如果隨身碟中有autorun.inf
打開隨身碟 即會打開 autorun.inf 所指定的檔案
autorun.inf 的內容通常是
複製程式
[AutoRun]
open=病毒檔名
shell\open\Command=病毒檔名
shell\explore\Command=病毒檔名
也就是指雙擊隨身碟時
自然而然就把病毒給打開了

我們可以利用 Windows鍵 + E 叫出檔案總管
利用旁邊的樹狀資料夾開啟隨身碟


或著是更改註冊表 來達到禁用 自動播放的效果
我們可以使用批處理 來達到更改註冊表的目的
打開記事本 複製以下指令複製程式
@echo off
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveAutoRun /t REG_BINARY /d ffffff03 /f>nul 2>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul
taskkill /im explorer.exe /f >nul 2>nul
start explorer.exe >nul 2>nul
exit
把它存成 123.bat 後執行即可
這樣子病毒就無法利用 autorun.inf 入侵您的電腦了...
此外可以在您的隨身碟 放置一個名為autorun.inf的資料夾
這樣也可以阻擋病毒把autorun.inf複製到您的隨身碟...

檔案方面
有兩種預防方法
一個是 IFEO Image Hijack 另一個是 利用資料夾阻擋
但是兩種各有各的缺點

IFEO 的用法是
一樣可以用批處理的方式
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\你要劫持的程序" /v "debugger" /d %windir%\system32\svchost.exe /f
Ex.
如果你想劫持 aa.exe
就這樣寫...
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aa.exe" /v "debugger" /d %windir%\system32\svchost.exe /f
以此類推
這樣的效果是 如果開啟aa.exe 就會轉向開啟 svchost.exe
此時病毒就無法使用
但是有個缺點
那就是如果有個正常的檔名是 aa.exe
將會導致他無法開啟
所以我不建議使用

另一個方法是用資料夾檔病毒
就是在病毒會產生的地方
放一個同檔名的資料夾
讓病毒無法複製到那裡...
用這種方法也可以防止變種
在 C:\Documents and Settings\"使用者名稱"\Local Settings\Temp\
底下
放置
aa.exe
cc.exe
ff.exe
ee.exe
help.exe
ll.exe
uu.exe
zz.exe
即可抑制kavo變種
此方法也可以用在預防病毒本體...
例如 C:\WINDOWS\system32\uret463.exe
C:\WINDOWS\system32\kacsde.exe
等等...

此外 KAVO 通常也會被夾在現在所流行的 Yahoo Mail 木馬內...
所以養成良好的路習慣
不要隨意打開信箱內的夾帶檔案
打開前可以問一下對方 是否有寄這個東西

這樣可以保護自己電腦使用上的安全

資料來源
By upside 和我的kavo實機測試經驗
資料整理
By K.Richard 香菇小精靈

如有錯誤的地方請指教...
表情



獻花 x0 回到頂端 [樓 主] From:歐洲 | Posted:2009-02-21 18:41 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.055019 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言