鐵之狂傲

 取回密碼
 註冊
搜尋
最後更新
返回清單 發表主題
列印 上一主題 下一主題

【資訊安全】 最近即時通無法登入的看一下(四樓贈送kavo預防針)

[複製連結] 檢視: 9594|回覆: 6

迷糊小書僮

無名的勇者

そばにいるね
切換到指定樓層
1#
發表於 07-9-21 20:54:05 |只看該作者 |降序瀏覽 大字 中字 小字 正體化 简体化
話說最近名為kavo的U盤病毒挺出名的

說一下他的特徵吧

首先,在他會修改以下登錄檔值

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]

修改右邊的checkvalue的值

造成隱藏檔無法顯示

並在

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

下新增一個kava的值

並可以在C槽

C:\WINDOWS\system32\kavo.exe

找到本體(生成物變種不一定一樣,所以我就不舉出來了)

並在每個槽區新增一個Autorun.inf一個ntdelect.com

最之前只會造成每個槽無法雙擊開啟,並且無法顯示隱藏檔

不過最近的變種似乎會造成即時通無法登入

另外,當你要開啟C槽或D槽的時候會另外多開啟一個視窗來顯示C or D(有幾個槽以此類推)


但是

請注意

有以上狀況不一定是中這隻毒,只要是U盤病毒都有可能

另外在清毒的時候,隨身碟也要一起清除

不然不管你系統在乾淨

只要隨身碟有毒,USB接孔插下去繼續中毒=.=


話說我打這篇大概是說明文吧=.=       

最近很多人都中了這隻毒,挺多人求助的這樣

話說有人因為Y通不能登入,把Y通重灌了好幾次這樣

[ 本文最後由 迷糊小書僮 於 07-10-25 03:52 PM 編輯 ]
 

轉播0 分享0 收藏0

回覆 使用道具 檢舉

幻影神兵

2#
發表於 07-9-21 21:37:10 |只看該作者 大字 中字 小字 正體化 简体化 載入全部圖片
根據目前看過的大量報告統計,大約找到一些資料
系統若被 kavo.exe 的木馬入侵,大多都會有以下狀況

被加入以下登錄檔資料。
(並非全部都是,這裡只是指出曾經有過的地方跟資料)

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
(兩個都有可能)
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
 <{27E1C1B0-7117-4582-8565-682E569810D2}> -- 非 XP 系統。

至於檔案則會增加
 [C:\WINDOWS\system32\Kavo.exe]
 [C:\WINDOWS\system32\kavo0.dll]
 [C:\WINDOWS\system32\kavo1.dll]
 [C:\WINDOWS\system32\fly32.dll]
 [C:WINNT\poor32.dll] -- 非XP系統
 [C:\autorun.inf]  (任何一個磁碟槽皆有,看過有人從 C:\ 感染到 F:\ ,包括隨身碟)
 [*:\*\ntdelect.com]

至於 autorun.inf 的內容都是
========================================
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
========================================

於是解救方法就是如下 [此為建議方法,僅供參考用]

首先請進入 [ 安全模式 ]  (開機時按 F8)
開始 > 執行 > regedit

找到以下地方刪除資料

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  名 稱  類 型       資  料
  kava    Reg_SZ   C:\WINDOWS\system32\kavo.exe>


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

         名 稱              資  料
 {27E1C1B0-7117-4582-8565-682E569810D2}   C:WINNT\poor32.dll  -- 非 XP 系統。

接著就是刪除電腦中的檔案。
只要利用電腦搜尋新增的檔案刪除即可

Kavo.exe
kavo0.dll
kavo1.dll
fly32.dll
autorun.inf
ntdelect.com
poor32.dll -- 非XP系統

這裡一些重點提出來
1. 為何無法刪除 dll ?
 由於你電腦執行時,dll 也被箝入執行檔中了,因此必須先刪除 kavo.exe
 等刪除完畢後,開始>關機>選登出,再重新進入安全模式,接著 dll 就可以刪除了。
 若還是無法刪除,請下載 Unlocker 工具。

2. 有些檔案搜尋不到,直接去找也找不到?
 請確認是否有開啟「系統隱藏檔」,若沒有請試著按照以下方法。
 開啟一個資料夾 > 工具 > 資料夾選項 > 檢視 >
 [隱藏保護的作業系統檔案] 取消勾選
 隱藏檔案資料夾的地方選擇『顯示所有檔案和資料夾』

 若被鎖定了,那請執行 > Regedit 搜尋下面資料

 [HKEY_LOCAL_MACHINE\
  SOFTWARE\
  Microsoft\
  Windows\
  CurrentVersion\
  Explorer\
  Advanced\
  Folder\
  Hidden\
  SHOWALL]
 有個 Checkedvalue 的 REG_DWORD 的資料,將他修改為 1 即可。

..
全文 >> 我的部落格= =
http://www.wretch.cc/blog/kerash&article_id=10671506

有些圖片我只留在無名相簿,所以沒辦法貼 ..
總之 ... 就是這樣= ="


補一下我還沒在部落格更新的資料
kavo*.dll 會隨機從 1~9 亂數產生
若 1 不能就會產生 2 ,以此類推
 

回覆 使用道具 檢舉

hekateseed

3#
發表於 07-10-6 00:50:58 |只看該作者 大字 中字 小字 正體化 简体化 載入全部圖片
之前我的即時通不能登入

解決辦法:開優化大師的開機速度優化

發現裡面有一個病毒

把它設成開機時別跟著開啟

即時通就OK了

不過上個月又出現磁碟機開啟要啟用別的檔案來開

解決辦法:在網址欄輸入:C:/

還是可以開= =
 

回覆 使用道具 檢舉

迷糊小書僮

無名的勇者

そばにいるね
4#
發表於 07-10-25 15:50:06 |只看該作者 大字 中字 小字 正體化 简体化 載入全部圖片
姆...最近在太無聊這樣(死

所以做了一個kavo.exe的預防針

並不需要等到知道中了kavo再來運行這樣

可以先運行來預防,有需要可以下載來執行這樣

執行時會跳出一個黑色視窗

等黑色視窗關閉就完成了

檔案上傳MF空間跟BDG空間

MF空間

BDG空間

發現kavo病毒後會幫你殺毒並且跳出一個視窗



如果每次開機都會跳出這視窗的話代表你電腦裡面的毒並沒有清乾淨

請觀看此篇文章並善用線上掃毒
https://www.gamez.com.tw/thread-388922-1-1.html

圖示不要太在意他

個人無聊弄的= =

=========================================

本程式利用了IFEO映象劫持技術,靈感來自病毒(拖走

因此對這種千篇一律的登錄機碼寫入還有完全一樣的同檔名有效

裡面的rd.bat是寫登錄機碼用的,內容
  1. @echo off
  2. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntdelect.com" /v "Debugger" /t REG_SZ /d "nircmd script ~$folder.system$\\3.txt" /f >nul 2>nul
  3. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavo.exe" /v "Debugger" /t REG_SZ /d "nircmd script ~$folder.system$\\3.txt" /f >nul 2>nul
  4. goto :eof
複製代碼


內容等同於reg的
  1. Windows Registry Editor Version 5.00

  3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavo.exe]
  4. "Debugger"="nircmd script ~$folder.system$\\3.txt"

  6. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntdelect.com]
  7. "Debugger"="nircmd script ~$folder.system$\\3.txt"
複製代碼


之所以不用regedit寫再用bat登錄,是因為有時候會登錄失敗

不過本人實在對bat檔沒輒...Orz

弄了好久才測試成功

姆...大概先這樣,基本上這程式我只構想了三天= =

所以算是很簡單的程序...Orz

[ 本文最後由 迷糊小書僮 於 07-10-28 03:03 PM 編輯 ]
 

回覆 使用道具 檢舉

r80139

5#
發表於 07-12-12 23:20:44 |只看該作者 大字 中字 小字 正體化 简体化 載入全部圖片
這病毒真的很有名
很多同學報告時隨身碟都開不起來...

最近插下同學電腦後回插自己的
卡巴就叫了==
 
原來  我們閱聽人在不知不覺間被商品化了...

回覆 使用道具 檢舉

joker0115

6#
發表於 08-1-31 22:18:06 |只看該作者 大字 中字 小字 正體化 简体化 載入全部圖片
很實用,最近usb碟借人常常都會有病毒...XD
 

回覆 使用道具 檢舉

julyfox17195

7#
發表於 08-2-6 03:47:29 |只看該作者 大字 中字 小字 正體化 简体化 載入全部圖片
我也是很怕這種毒的人
Y通都進不去
朋友就跟我說
Y通滑鼠右鍵 內容 相容性 改成WINDOWS 95
不過這種動作還是會被病毒察覺
所以我現在都用MSN
我的感想是:
KAVO這個病毒是不是在反Y通
叫人們都用MSN勒?!
 

回覆 使用道具 檢舉

最後更新 返回清單 發表主題
進階模式
B Color Image Link Quote Code Smilies
你需要登入後才可以回覆 登入 | 註冊

存檔|手機版|聯絡我們|新聞提供|鐵之狂傲

GMT+8, 24-5-8 07:05 , Processed in 0.026888 second(s), 21 queries , Gzip On.

回頂部