設為首頁收藏本站
開啟輔助訪問

OK論壇

 找回密碼
 註冊
OK論壇»論壇 電腦廣場 電腦技術 【心得】這兩天碰到的kavo系列病毒
返回列表 發新帖
查看: 1569|回復: 1

【心得】這兩天碰到的kavo系列病毒

[複製鏈接]
plus724254
  • TA的每日心情
    開心
    2023-5-27 04:43 PM

    • 簽到天數: 17 天

    連續簽到: 1 天

    [LV.4]偶爾看看III
    發表於 2010-1-3 16:58:37 | 顯示全部樓層 |閱讀模式
    基本上有一點變化,應該是另外有人寫的,不過行為模式一樣

    會產生驅動程序klif.sys (沒錯就是klif.sys,偽裝成卡巴的驅動程序)
    破壞部份防毒運作並修改explorer.exe的記憶體程序
    然後下載病毒檔案並寫入登錄值 hkcu...run (中間懶的打) 內的字串值jvsoft
    對應到檔案名稱%systemroot%\system32\j3ewro.exe,並產生動態連結檔jwedsfdo0.dll (do0-do9)
    除了隔幾秒鐘記憶體程序被修改的explorer.exe會一直產生autorun.inf以及對應的檔案以外,另外再分析的時候有抓到幾組IP,google了一下應該是盜RO帳密的木馬

    IP如下:
    61.220.60.36
    61.220.62.116
    61.220.56.147
    61.220.56.132
    61.220.62.30
    61.220.62.25
    203.69.46.166
    203.69.46.167
    220.130.113.238

    清除方式...就和清除kavo一樣
    第一步要先將explorer.exe關閉後再重新開啟
    這個步驟沒做後面的基本上都沒什麼用處。

    其他就照上述的將檔案刪除即可。
    回復

    使用道具 舉報

    好玩邦推∼
  • TA的每日心情
    郁悶
    2010-5-9 04:58 PM

    • 簽到天數: 1 天

    連續簽到: 0 天

    [LV.1]初來乍到
    發表於 2010-1-3 19:24:13 | 顯示全部樓層
    用張書維的防毒軟體應該OK不用如此麻煩!
    回復 支持 反對

    使用道具 舉報

    返回列表 發新帖
    高級模式
    B Color Image Link Quote Code Smilies
    您需要登錄後才可以回帖 登錄 | 註冊

    本版積分規則

    Archiver|手機版|小黑屋|OK討論區

    GMT+8, 2025-7-22 01:55 PM , Processed in 0.055156 second(s), 19 queries , Gzip On.

    Powered by Discuz! X3.4

    Copyright © 2001-2020, Tencent Cloud.

    快速回復 返回頂部 返回列表