分析清除Trojan.Win32.KillWin.ee病毒

上一篇 / 下一篇  2008-02-17 19:21:16

查看( 54 ) / 评论( 0 ) / 评分( 0 / 0 )
病毒日新月异的今天,越来越多的伪装及新型变种是一天接一天的疯狂,面对如此情况,很多网民是只能一次又一次的进行系统还原或者是重装系统。而安全软件在此时却显得力不从心,因为很多病毒木马在发作前都开始解除安软的保护功能,这不新出现的Trojan.Win32.KillWin.ee也具备此种功能。

:\Q5{C6M0   病毒分析IXPUB技术博客,l3p$t1Om v)l
    该病毒名为Trojan.Win32.KillWin.ee,文件虽然只有小小的169 KB(173,614 字节),但其威力却不容小视。病毒为WINRAR自解压缩包格式,可通过修改自身图标为卡卡助手的标识来进行伪装自身。当病毒进驻到用户计算机后,会释放BAT和REG命令的执行文件,并利用命令方式删除用户计算机中的卡卡助手启动项,禁止其真实的程序启动,然后通过劫持卡卡的主程序并将其指向病毒主体gameover.exe程序。

$cx)zr\F"S$aY0IXPUB技术博客_5tNc q2Q$v

    该程序在使用自动解压缩命令解压自身后开始进行系统破坏,其自解压命令如下:
?L @/N(b|0    Path=%SystemRoot%\system32\
C+^u.i `!{&_6Gs0    SavePath
+h:G"r6M e;t0    Setup=hidecmd.exe kv.batIXPUB技术博客7Z*u D(hL
    Silent=1
Vp:k"j4?6Mu0    verwrite=1

$g-c ys)b,Fh,|6L.Q0

B3}f D.t:{ v0    执行hidecmd.exe(隐藏执行BAT)用参数调用kv.bat隐藏执行。IXPUB技术博客HY!A0TR](h
    kv.bat的内容为:
.t.lzN"CiP9A0    @echo off
9QD7L$Q1W;G0    %SystemRoot%\regedit /s kaka.regIXPUB技术博客8Fe(t)m,\K
    %SystemRoot%\regedit /s gameover.reg
n%r$z%oq"{0    ExitIXPUB技术博客3S r%f5l8U0f W


导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2008-12-06  
 123456
78910111213
14151617181920
21222324252627
28293031   

数据统计

  • 访问量: 51122
  • 日志数: 1047
  • 文件数: 1
  • 建立时间: 2007-08-10
  • 更新时间: 2008-12-05

RSS订阅

Open Toolbar