“kavo.exe病毒分析和查杀”是零度电脑知识网根据书本知识、网上资料、实际操作总结出来的经验文章,如果你想了解更多此类问题,请关注病毒安全版块中的更多文章!
kavo.exe是什么?kavo.exe病毒有哪些危害?如何查杀kavo.exe病毒?本文为大家解答。
kavo.exe是什么
文件名称:kavo.exe
文件大小:116464 bytes
AV命名:
Trojan-PSW.Win32.OnLineGames.pcm(Kaspersky)
Trojan.PSW.Win32.GameOL.lor(Rising)
Worm/AutoRun.Y(AVG)
编写语言:delphi
文件MD5:3b08963e3b2cae9e3b4dc38b21b2a69d
病毒类型:盗号木马
###################################################################################
零度电脑知识网是电脑基础知识学习的专业网站,为电脑初学者提供入门电脑基础知识、电脑基础知识视频、电脑基础知识讲座、下载电脑基础知识,学习电脑基础知识就在零度电脑知识网!
###################################################################################
行为分析:
1、释放病毒文件:
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo0.dll
C:\WINDOWS\system32\kavo1.dll
2、添加注册表,开机启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kava = REG_SZ, “C:\windows\system32\kavo.exe”
3、修改注册表,记录下载地址的版本:
HKEY_CLASSES_ROOT\CLSID\MADOWN
当前为:“cdfty1.7”
4、启动IE进程,连接网络下载木马,释放:
C:\WINDOWS\system32\tavo.exe
C:\WINDOWS\system32\tavo0.dll
C:\WINDOWS\system32\poor32.dll
5、tavo0.dll和kavo1.dll则注入系统进程,监视鼠标、键盘操作,盗取木马。
6、释放驱动,随机命名的,然后删除自身。
7、修改注册表,破坏显示隐藏文件功能。
8、遍历磁盘,生成病毒文件和autorun.inf
解决方法:
开始-运行regedit进入注册表,将以下两个值删除:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<kava><C:WINNT\system32\kavo.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersionWindows]<{27E1C1B0-7117-4582-8565-682E569810D2}><C:WINNT\poor32.dll>
接著进入安全模式,用电脑搜寻所有盘符:
kavo.exe
kavo0.dll
kavo1.dll
tavo.exe
tavo0.dll
poor32.dll
autorun.inf
找到的删除掉即可。
附:修改注册表修复显示隐藏文件功能:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
(*)(注册表值) Hidden
REG_DWORD, 2 修改为 REG_DWORD, 1
(*)(注册表值) ShowSuperHidden
REG_DWORD, 0 修改为 REG_DWORD, 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
(*)(注册表值) CheckedValue
REG_DWORD, 0修改为 REG_DWORD, 1
病毒安全版块中有更多和“kavo.exe病毒分析和查杀”相关的文章,零度电脑知识网对于这方面的介绍文章还是比较多的。如果你喜欢学习电脑知识,请记住本站唯一域名www.needc.com
