以下的文章主要向大家讲述的是正确清除Trojan.Win32.KillWin.ee病毒的方案分析,现在病毒的发展速度已是越来越快,越来越多的伪装及新型变种是一天接一天的疯狂,面对如此情况,很多网民是只能一次又一次的进行系统还原或者是重装系统。
而安全软件在此时却显得力不从心,因为很多病毒木马在发作前都开始解除安软的保护功能,这不新出现的Trojan.Win32.KillWin.ee也具备此种功能。
病毒日新月异的今天,越来越多的伪装及新型变种是一天接一天的疯狂,面对如此情况,很多网民是只能一次又一次的进行系统还原或者是重装系统。而安全软件在此时却显得力不从心,因为很多病毒木马在发作前都开始解除安软的保护功能,这不新出现的Trojan.Win32.KillWin.ee也具备此种功能。
病毒分析
该病毒名为Trojan.Win32.KillWin.ee,文件虽然只有小小的169 KB(173,614 字节),但其威力却不容小视。病毒为WINRAR自解压缩包格式,可通过修改自身图标为卡卡助手的标识来进行伪装自身。
当Trojan.Win32.KillWin.ee病毒进驻到用户计算机后,会释放BAT和REG命令的执行文件,并利用命令方式删除用户计算机中的卡卡助手启动项,禁止其真实的程序启动,然后通过劫持卡卡的主程序并将其指向病毒主体gameover.exe程序。
该程序在使用自动解压缩命令解压自身后开始进行系统破坏,其自解压命令如下:
Path=%SystemRoot%\system32\
Setup=hidecmd.exe kv.bat
Overwrite=1
执行hidecmd.exe(隐藏执行BAT)用参数调用kv.bat隐藏执行。
kv.bat的内容为:
%SystemRoot%\regedit /s kaka.reg
%SystemRoot%\regedit /s gameover.reg
病毒修改注册表
在结束上述命令后,Trojan.Win32.KillWin.ee病毒源体开始接着导入到系统中两个REG文件,来修改注册表,其内容如下:
windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
“KKDelay”=”C:\\Program Files\\Rising\\AntiSpyware\\RunOnce.exe”
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“runeip”=”\”C:\\Program Files\\Rising\\AntiSpyware\\runiep.exe\” /startup”
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalCompOnents]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
“Installed”=”1”
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
“Installed”=”1”
“NoChange”=”1”
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
“Installed”=”1”
病毒删除卡卡助手#p#
到此时病毒依然没有停手,其开始查找并删除卡卡助手的相关启动,其内容如下:
gameover.reg:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]
“Debugger”=”C:\\winnt\\system32\\gameover.exe”
从而进行劫持卡卡主程序并将其指向释放的病毒。
小提示:从这里%SystemRoot%\system32\可以看出作者针对的是WIN2K系列,因为刚才的WINRAR释放脚本使用的是环境变量,只有在WIN2K系列操作平台中才是WINNT文件夹,而在XP里是WINDOWS\system32\,所以这个劫持指向无效。
重要注释
%System32%是一个可变路径,Trojan.Win32.KillWin.ee病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
破坏系统的gameover.exe
Trojan.Win32.KillWin.ee病毒在对卡卡劫持后,开始进行下一步活动,在系统中放入gameover.exe程序进行系统破坏。其实gameover.exe也是一个自解压缩包,内含自解压脚本命令如下:
Overwrite=1
释放了0字节的同名空文件替换以下系统文件,破坏系统启动:
AUTOEXEC.BAT
bootfont.bin
CONFIG.SYS
NTDETECT.COM
清除病毒
普通用户可通过系统镜像还原实现系统恢复,而对于有一定基础的网民来说,可以系统光盘中复制上述的系统文件进行修复操作系统平台。在查找文件时可以用DIR命令来查找其相关位置,如:首先进入光盘的盘符,然后输入:DIR Autoexe.bat,系统会将此路径下的Autoexe.bat文件的位置显示出来,然后再进行复制文件,其命令格式如下:
COPY_源路径_目标路径(其中_为空格),比如:“COPY_X:\autoexe.bat_C:\”就表示将X盘根目录下的Autoexe.bat文件拷贝到C盘根目录下。
然后删除系统目录%SystemRoot%\system32\下的gameover.exe文件即可,最后进行杀毒软件的升级与全盘杀毒,以防另类感染。
编者按:Trojan.Win32.KillWin.ee病毒虽然有其入驻破坏之道,但只要掌握其原理,在了解其运行过程与所添加的注册表项目后,即可轻而易举的将其清除出系统之外,还平台一个安全的环境。
怎样杀trojan.win32.agent.bbk这种病毒啊
这是木马病毒,查杀木马,你可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了.
trojan.win32.edog.bl病毒怎么清除?
“机器狗变种G()”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 这是一个木马病毒。 病毒运行后会用病毒自带的EXE文件替换掉正常的系统文件,系统启动时就会运行该病毒文件,以此试图关闭多种主流杀毒软件和安全工具。 病毒还会解除杀毒软件和安全工具对IE的保护,利用IE浏览器从黑客指定网站对病毒本身进行更新,给用户计算机安全造成很大危害。 反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
trojan.clicker.js.small.b是什么病毒
Trojan启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。 这些病毒包括“传奇终结者()”、“QQ游戏木马()”、“QQ盗贼()”以及“密西木马()”等病毒的最新变种。 这些病毒在电脑的后台运行,窃取用户的网络游戏和QQ的账号和密码,并发送给病毒制造者。 这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。 用瑞星等主流杀毒软件就可以杀除。 杀病毒常用 方法1、有多操作系统的用户,可以通过引导到其它系统删除所有病毒文件,彻底清除。 2、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。 3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入病毒文件名,找到后全删。 4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除
发表评论