文件名称:kavo.exe 
文件大小:116464 bytes  

AV命名:   

Trojan-PSW.Win32.OnLineGames.pcm(Kaspersky) 

Trojan.PSW.Win32.GameOL.lor(Rising) 

Worm/AutoRun.Y(AVG) 

  

编写语言:delphi 

  

文件MD5:3b08963e3b2cae9e3b4dc38b21b2a69d 

  

病毒类型:盗号木马 

  

行为分析: 

  

1、  释放病毒文件: 

  

C:\WINDOWS\system32\kavo.exe  113759 字节 

C:\WINDOWS\system32\kavo0.dll  96768 字节 

C:\WINDOWS\system32\kavo1.dll  96768 字节 

  

2、  添加注册表,开机启动: 

  

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

kava = REG_SZ, "C:\windows\system32\kavo.exe" 

  

3、  修改注册表,记录下载地址的版本: 

  

HKEY_CLASSES_ROOT\CLSID\MADOWN 

当前为:"cdfty1.7" 

  

4、  启动IE进程,连接网络下载木马,释放: 

  

C:\WINDOWS\system32\tavo.exe 

C:\WINDOWS\system32\tavo0.dll 

  

5、  tavo0.dll和kavo1.dll则注入系统进程,监视鼠标、键盘操作,盗取木马。 

  

6、  释放驱动,随机命名的,然后删除自身。 

  

7、  修改注册表,破坏显示隐藏文件功能。 

  

8、遍历磁盘,生成病毒文件和autorun.inf 

  

解决方法: 

  

1、  下载SREng,然后断开网络连接。 

  

2、  打开SREng,删除注册表键: 

  

(注册表值) kava和(注册表值) tava 

  

3、  重启计算机,删除文件: 

  

C:\WINDOWS\system32\kavo.exe  113759 字节 

C:\WINDOWS\system32\kavo0.dll  96768 字节 

C:\WINDOWS\system32\kavo1.dll  96768 字节 

C:\WINDOWS\system32\tavo.exe 

C:\WINDOWS\system32\tavo0.dll 

  

还有每个磁盘下的autorun.inf和病毒文件,也删除,建议用winrar 

  

4、  其他: 

  

修改注册表修复显示隐藏文件功能: 

  

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 

       (*)(注册表值) Hidden 

        REG_DWORD, 2 修改为 REG_DWORD, 1 

       (*)(注册表值) ShowSuperHidden 

        REG_DWORD, 0 修改为 REG_DWORD, 1 

  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 

       (*)(注册表值) CheckedValue 

        REG_DWORD, 0修改为 REG_DWORD, 1