Shunze 學園 >電腦資訊學系 >病毒追追追 > 《分享》要命的隨身碟病毒kavo.exe 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2330

shunze 離線
《分享》要命的隨身碟病毒kavo.exe引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

這陣子似乎又流行起一種隨著USB隨身碟散佈的新病毒-kavo.exe。

中毒後,有一個明顯的特徵,那就是無法顯示隱藏檔
而且即使在資料夾選項中開啟“顯示所有檔案和資料夾”選項也沒作用,馬上就會被病毒修改回去...
更離譜的是,即使重灌作業系統之後,問題仍然無法解決?
一樣無法顯示隱藏檔?


哇!!!
有沒有這麼厲害?
重灌都沒有用???



其實重灌作業系統肯定是有用的。
只不過中毒後,這隻病毒會在所有磁碟分割區中留下遺毒及autorun.inf導引檔。

而一般人操作開啟磁碟分割區的方法都是打開“我的電腦”,然後連點兩下欲開啟的磁碟分割區。
正好這樣的開啟動作,電腦會先check該磁碟分割區是否有autorun.inf?
如果有的話,會先執行autorun.inf中的批次內容。

雖然說作業系統安裝碟(C碟),重新安裝過保證沒有問題。
不過,其它分割區並未重新格式化,所以仍舊殘留有病毒遺毒。
在經過autorun.inf這麼呼叫後,病毒又重新載入系統中...
這也是為什麼重灌之後,還是沒有用,仍然無法顯示隱藏檔的主要原因了。


要解法這個kavo.exe病毒還真是有點麻煩。
雖然我們清楚的知道問題根本就在autorun.inf這個隱藏檔,
不過,問題是它被隱藏屬性保護著,一般使用者還是沒有能力去刪除看不到的它。


嗯,廢話不多說,以下開始說明解毒原理。
1.重設所有磁碟中autorun.inf的檔案屬性,將隱藏屬性解除,然後刪除autorun.inf這個檔案。
2.刪除隱藏的病毒分身Ntdelect.com;同樣的解除其隱藏屬性然後刪除。
3.在註冊機碼中清除病毒所增加的機碼,然後回復被病毒停用的“顯示隱藏檔案”的功能。
4.刪除病毒本體C:\WINDOWS\system32\目錄下的kavo.exe及kavo0.dll。
5.重開機後,應該就能擺脫kavo.exe的威脅了。



以下程式碼是上述1到4點解毒原理的實作批次檔。

@echo off
cls

echo 清除各磁碟及資源回收筒內的病毒檔及autorun.inf
echo 如要中斷程序,請按Ctrl+C
echo .
pause
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
echo 清除%%a碟中...
for %%b in (EXE COM PIF) do (
attrib -r -s -h -a %%a:\RECYCLER\*.%%b /s >nul 2>nul
attrib -r -s -h -a %%a:\RECYCLED\*.%%b /s >nul 2>nul
del %%a:\recycler\*.%%b /s /q /f >nul 2>nul
del %%a:\recycled\*.%%b /s /q /f >nul 2>nul
)
attrib -r -s -h -a /D /S %%a:\autorun.inf >nul 2>nul
attrib -r -s -h -a /D /S %%a:\ntdelect.com >nul 2>nul
del %%a:\autorun.inf /s /q /f >nul 2>nul
del %%a:\ntdelect.com /s /q /f >nul 2>nul
)

echo 清除病毒的註冊機碼
@echo Windows Registry Editor Version 5.00 >c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp] >>c:\fix.reg
@echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe] >>c:\fix.reg
@echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] >>c:\fix.reg
@echo "kava"=- >>c:\fix.reg
@echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] >>c:\fix.reg
@echo "{27E1C1B0-7117-4582-8565-682E569810D2}"=- >>c:\fix.reg
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] >>c:\fix.reg
@echo "CheckedValue"=dword:00000001 >>c:\fix.reg
regedit.exe /s c:\fix.reg
del c:\fix.reg >nul 2>nul

echo 清除kavo相關病毒檔
attrib -s -h -r %windir%\system32\kavo.exe >nul 2>nul
attrib -s -h -r %windir%\system32\kavo0.dll >nul 2>nul
del %windir%\system32\kav*.* >nul 2>nul

echo "清除完成,請重新開機。"
pause

將這些程式碼複製下來,貼在記事本這類的純文字編輯器中,然後另存為副檔名為bat的批次檔,
再以滑鼠連點兩下執行它,就可以發揮解毒功效。

如果覺得麻煩的話,就用順子寫好的批次檔吧∼
下載本文最後的附加檔 delkavo.zip ,解縮壓後執行它也具有同樣效果!
順子建議您在解毒時,將USB隨身碟一併接插上,才能連同隨身碟一起解毒,徹底解決問題!



其它補充
  1. 如果在“我的電腦”中直接開啟D碟就會中毒的話,那要如何瀏覽D碟中的資料呢?
    順子建議以“Windows檔案總管”來檢視管理檔案。
    透過“檔案總管”左側的樹狀結構中來開啟分割區或是目錄,就不會去自動執行autorun.inf這類檔案。



  2. 如果不確定別人的隨身碟是否有病毒,可是又必需檢視堶悸爾禤お氶A該怎麼辦?
    一般來說,插入USB隨身碟後,windows作業系統會自動掃描,然後自動執行autorun.inf。
    其下場就是中毒...
    這也是為什麼USB隨身碟這麼容傳播病毒的原因。

    遇到這種情況時,請按著鍵盤上的“Shift”鍵不放,然後再插入隨身碟。
    這樣簡單的一個動作就可以讓windows略過自動執行的功能。
    (當然,這個功能對光碟也有效∼)

  3. 既然Autorun.inf這麼討厭,那有沒有辦法設定電腦以後都不要去執行它?
    辦法是有的,不過如此設定後,包括光碟在內,所有程式都不會自動執行...

    建議換個方式,在所有磁碟分割區的根目錄中(包括隨身碟),都加入一個名為autorun.inf的資料夾。
    這樣一個資料夾存在後,病毒就無法再增加一個相同名稱的檔案,同時也不會影響光碟的自動執行程式。
    這種方式似乎簡單可行多了∼

shunze 上傳的檔案
delkavo.zip (1 KB, 已經被下載 1641 次)


♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-09-08, 20:43 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2330

shunze 離線
《注意》Ntdelect.com係蝦米引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

事實上Ntdelect.com就是病毒本體。
它的命名是模仿Windows NT base作業系統中的系統檔Ntdetect.com
相似的檔案名稱,是病毒的特徵之一!
目的就是讓人產生混淆,誤以為它是系統檔案而忽略了它的存在。


此外,相似的檔案名稱也有相當大的機率,讓人在手動解毒時,誤刪了系統檔而造成無法開機的現象。

所以,手動解毒時,千萬要小心啊...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-09-11, 09:30 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2330

shunze 離線
引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

以下程式碼是kavo病毒的autorun.inf內容。

[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com

我們可以看到原本的開啟(Open)及檔案總管(Manager)都被病毒修改為執行ntdelect.com。
這也就是說不論是 在“我的電腦”上連按兩滑鼠開啟D碟
或是 在“我的電腦”上按下滑鼠右鍵,以檔案總管的方式來開啟D碟 一樣都會中毒!


↑這樣開啟一樣會中毒...

所以開啟磁碟還是以樹狀結構的“Windows檔案總管”來開啟最安全。


↑這樣開啟才安全!


附加檔案是kavo的本體 ntdelect.com 以及其導引檔 autorun.inf的壓縮檔,僅供測試。
(解壓縮密碼為 virus )

解壓縮後執行 ntdelect.com,就會中毒!
小心,不要隨便開自己的玩笑!



另外,如果解毒後,發現還是無法開啟顯示隱藏檔案的話,
請再執行一次解毒程序應該就OK了∼

shunze 上傳的檔案
virus-kavo.rar (74 KB, 已經被下載 1361 次)


♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-09-11, 16:00 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR