kav.exe等下载者病毒手动解决方案
2091 点击·0 回帖
灯火互联
楼主
 |  | |
 | 病毒症状: 该样本是使用“VC++”编写的“下载者”,长度为“22,528”字节,使用“exe”扩展名,通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是下载病毒木马。当用户计算机感染此木马病毒后, 用户中毒后会出系统运行缓慢无故报错,网络访问异常,并且发现未知进程等现象。 感染对象: Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7 传播途径: 文件捆绑、网页挂马、下载器下载 病毒分析: 1.病毒建立互斥体变量名:“ACDTEST……”,主要防止程序多次运行。 2.病毒获得系统目录路径,将"C:\WINDOWS\System32\userinit.exe"与病毒自身比较,是否注入其中进程,如果注入成功,通过外部命令执行"C:\WINDOWS\explorer.exe" 打开应用程序。 3.如果注入不成功,将病毒文件提升到"SeDebugPrivilege"的访问权限,并建立及修改注册表的信息: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 名称:Kav 数据:C:\WINDOWS\System32\kav.exe 以到达自启动的目的。 4.病毒建立线程,从指定网站下载hosts文件替换掉本地用户hosts文件并且将hosts文件修改为系统隐藏属性,屏蔽以下安全软件, 并且将操作系统版本,网卡地址,主机名等发到黑客指定的网站。 5,病毒获得临时文件路径,在该目录下创建%Temp%\ope1.tmp, 从指定网址下载大量病毒木马到临时文件运行,然后自删除。 病毒创建文件: %SystemRoot%\system32\drivers\etc\hosts %Temp%\ope1.tmp 病毒创建注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 名称:Kav 数据:C:\WINDOWS\System32\kav.exe 病毒访问网络: http://360cnfuck.*****.info:9550/10825host/1002.txt http://www.*****.info:3352/count.aspx http://360cnfuck.*****.info:9550/id/ud.txt 手动解决办法: 手动删除文件 1.删除 %Temp%\ope1.tmp 2.删除 病毒源程序 3.导入正确的hosts文件 手动删除注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 名称:Kav 数据:C:\WINDOWS\System32\kav.exe 变量声明: %SystemDriver% 系统所在分区,通常为“C:\” %SystemRoot% WINDODWS所在目录,通常为“C:\Windows” %Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings” %Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp” %ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles” | |
 |  |