LV. 17
GP 103

【心得】Kavo型病毒造成的影響 ,程式架構及相關解除步驟(藍字部份6/5修正)

樓主 三眼奧斯卡 oscarwu1
GP25 BP-
(以下紅字部份 ,為針對jvvo ,kxvo所作的說明)

Kavo型病毒造成的影響 ,程式架構及相關解除步驟
壹:所造成的影響
  1.中毒電腦無法修改顯示隱藏檔的設定 ,無法目視看到隱藏檔
  2.有可能會在開啟磁碟機時 ,出現要你選擇用何種程式去開啟的選單 ,而不能像平常用左鍵連點兩次進磁碟機
  3.針對你通訊錄 ,發病毒信給通訊錄中的mail-address  (這點修正 ,我個人遇到發出此類病毒信的信箱 ,應該都是被盜走密碼後 ,被那些想下毒的人拿去使用發毒信 ,而非信箱原始使用者平常所用電腦所發出的毒信 ,除非另有證據 ,否則無法證明KAVO一族的中毒電腦會發出病毒信件)

真的最後一次在網路上說明有關此類病毒的解法跟完整架構了 ,越寫越覺得沒熱情了
 
先說明downloader跟病毒主檔的關係 ,就類似運輸機跟空降傘兵之間的關係 ,運輸機沒擊落光 ,空降傘兵就會一直下降下來 ,所以downloader沒砍光前 ,病毒主檔就會一直從網路上跑進你的電腦內

貳:kavo病毒完整架構
  1.病毒主檔 : 按病毒主檔檔名分類 ,目前已知的有分為KAVO ,TASO ,TAVO, ,JVVO ,KXVO
檔案有kavo.exe ,kavo0.dll ,kavo1.dll ......(依序類推) 或
taso.exe taso0.dll taso1.dll.....(同樣依序類推) 或
tavo.exe tavo0.dll tavo1.dll.....(同樣依序類推)
jvvo.exe jvvo0.dll jvvo1.dll.....(同樣依序類推)
kxvo.exe kxvo0.dll kxvo1.dll.....(同樣依序類推)

以上檔案為隱藏檔+系統檔屬性 主檔所在位置 會在c:\windows\system32 下

此類檔案刪除法:執行regedit 去以下兩段機碼區找相關參數刪除後 ,重開機完畢再去刪病毒主檔 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
參數為kava 或 tasa 或tava 或 jvsoft 或 tasoft


  2.downloader 第一型態 ,第一種類別或第一種途徑......(算了 ,大家愛怎樣講就怎樣講) 為*.dll +*.exe 類型(*.dll 及 *.exe 同檔名 ,且*.exe 往往會被防毒軟體已經先行殺掉了) ,此部份往往防毒軟體或各家專殺軟體都無法徹底刪光 ,包括網路上最流行的kavo_killer......此類為不固定路徑下的不固定檔名 ,但有幾種已知的固定型態 ,請參考本人在遊戲安全及電腦防護哈拉版所發的標題為”kavo九變化”的文章內有詳細類別
 
此類檔案刪除方式:找到該機的downloader檔名 ,以檔名為關鍵字 ,進regedit 搜尋 ,找到相關機碼 ,刪除掉後重開機 ,開機完畢再去刪檔案 以下為幾個該類檔案的登錄機碼範例
 
    例一:
[HKEY_CLASSES_ROOT\CLSID\{79FC744E-75CA-49B0-8F02-AEAE4CAACBE0}] @="SSUUDL"
 
[HKEY_CLASSES_ROOT\CLSID\{79FC744E-75CA-49B0-8F02-AEAE4CAACBE0}\InProcServer32]
@="C:\\WINDOWS\\HELP\\2ACE4CFBAF2C.dll" "ThreadingModel"="Apartment"

此例中的downloader 即為C:\WINDOWS\HELP\2ACE4CFBAF2C.dll ,而要刪的機碼 ,則是從HKEY_CLASSES_ROOT\CLSID\{79FC744E-75CA-49B0-8F02-AEAE4CAACBE0} 這段按刪除 ,其下一層的相關機碼自然都會被一起刪掉
    例二:
[HKEY_CLASSES_ROOT\CLSID\{AA6B979A-796F-452A-94B3-DF1F17B72031}] @="TSHOOK"

[HKEY_CLASSES_ROOT\CLSID\{AA6B979A-796F-452A-94B3-DF1F17B72031}\InProcServer32] @="C:\\WINDOWS\\winpow32.dll" "ThreadingModel"="Apartment"

此例中的downloader 即為C:\WINDOWS\winpow32.dll

  3.downloader 第二型態:各槽位根目錄下的autorun.inf+donwloader檔 ,
downloader檔名則要看autorun.inf的內容 ,看是open哪個檔案就可確定 此類型正是kavo類病毒又常被稱為USB病毒的原因 ,只要隨身碟 ,USB類的裝置上有autorun.inf+downloader檔 ,不點開隨身碟 ,只是接上電腦 ,那還不會有事 ,一點開隨身碟 ,馬上downloader檔被執行 ,跟著你所有磁碟機的根目錄馬上都被複製autorun.inf+downloader檔 ,再沒多久 ,kavo主檔就會跟著空降到你電腦內了 

刪除方式:刪除各槽位根目錄下的autorun.inf 後重開機完再刪downloader檔

  4.病毒安裝過程中會出現的檔 ,作用不明 ,或許我們可以通稱他們為”雜魚檔”,後來我懷疑他們不是雜魚 ,而是病毒程式安裝檔 ,跟downloader不同在於 ,這些檔只在第一次時執行 ,以後都不會隨開機後執行

檔案所在位置:C:\Documents and Settings\(登錄帳號)\Local Settings\Temp 檔案名稱:cc.exe 或yy.exe 及一堆隱藏屬性的隨機檔名的dll ,此類檔案可直接刪除 ,通常不會有無法刪除現象 ,這些檔是病毒檔安裝當時會產生的 ,但是不會隨開機而被啟動 最後有關無法顯示隱藏檔及系統檔的部份如何處理 ,請上網自行找相關登錄機碼修改 ,或用kavo_killer執行 ,這檔案可以修復 ,(這也是此檔案最大貢獻)
 
 5. JVVO ,KXVO ,在XP系統下要多檢查一個地方 ,C:\windows\prefetch下 是否出現cc.exe ,ff.exe ,tt.exe ,yy.exe 等開頭的pf檔 ,若有 ,請記得刪除 ,不然病毒檔都會在開機後又回來
範例一:CC.EXE-1ABFC8EF.pf
範例二:FF.EXE-038D1CDE.pf


至於中毒電腦已經無法看到隱藏檔及系統檔如何處理 ,如果有多部電腦在同一區網 ,用別台正常的電腦 ,開啟顯示隱藏檔及系統檔 ,以網路分享的分式去檢查中毒電腦 處理優先順序 是1 2 3 三類的登錄機碼要同時處理掉 ,處理完才需要重開機一次 ,開機完順利的話 ,那些檔案就能手動刪除了 ,最後 ,顯示隱藏檔及系統檔的登錄機碼修復請擺在病毒檔都完全清掉後再進行 ,病毒檔沒清光前 ,這些機碼都會再被病毒檔竄改的


參:USB 類病毒避免再度感染的自我防護措施建議 寫一個批次檔 ,內容如下
for %%x in (C D E F G H I J K) do (
attrib -r -s -h -a %%x:\autorun.inf >nul &&del %%x:\autorun.inf /q /f >nul )

每當USB碟一插上電腦後 ,在點開該USB碟前優先執行這批次檔一次 ,執行完再點開USB碟去看檔案 ,保證USB類病毒再怎樣改版 ,你都不用擔心會中任何新種USB病毒 ,此方法免費又簡易 ,理論上只要不是白癡 ,每個都能夠用得好

至於網路報章雜誌上發表的那些軟體的 ,硬體的防治措施?那是給公司行號消耗預算或賺錢騙錢用的 ,一般家用USER照我前面所提的方式 ,照著作養成習慣 ,USB 病毒再變 ,也不至於在你電腦發作

若是以其它方式進入你電腦發作者 ,不在此文討論範圍中

以上內容是給對regedit ,登錄系統 ,略有概念者看的 ,若完全看不懂上面寫啥的人 ,那還是拿去重灌就好 ,只要不是找到我替你做重灌 ,其它都任君隨意

以上文章若對看官有幫助 ,請記得每天焚香對天祝禱三次 ,祝福本人早日找到一份像樣點的工作崗位 ,本人就感謝不盡了 ,(叩首)

PS:以上文章先前已發於電腦應用綜合討論 哈拉版 ,此文為修改後的版本
PS2:若想轉載轉貼請自便 ,無需先問我 ,但轉載轉貼後請註明原作者 ,請特別把本人此ID附上 ,謝謝 ,沒附上本人ID”三眼奧斯卡” ,即視為侵權行為 ,請自重

針對以上的原則
下面連結是自行撰寫的一隻小工具 ,可以撿去用看看
http://forum.gamer.com.tw/C.php?bsn=60289&snA=2222&locked=F&tnum=4&subbsn=0&Bpage=1&author=oscarwu1&media=0
25
-
未登入的勇者,要加入討論嗎?
板務人員:歡迎申請板主

183 筆精華,04/15 更新
一個月內新增 0
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】