档案编号:CISRT2007006
病毒名称:N/A(Kaspersky)
病毒别名:
病毒大小:28,048 字节
加壳方式:PE_Patch UPack
样本MD5:108c1a1c288e1504b5f47f59a38f4752
样本SHA1:aa58f0b28af840ecdfc2c5cd150f5d6377f86285
发现时间:2007.1
更新时间:2007.1
关联
病毒:
传播方式:恶意网页、其它
病毒下载
技术分析
==========
木马运行后复制自身到系统目录下:
%ProgramFiles%\Internet Explorer\KVMonXP070105.exe
并释放dll文件:
%ProgramFiles%\Internet Explorer\use070105.dll
调用系统rundll32.exe运行加载use070105.dll
rundll32.exe "%ProgramFiles%\Internet Explorer\use070105.dll" mymain
使用C:\Delme.bat删除自身,其内容为
:try
del "exe"
if exist "exe" goto try
del %0
创建启动项:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"main"="rundll32.exe "%ProgramFiles%\Internet
Explorer\use070105.dll" mymain"
加载use070105.dll的rundll32.exe会再次运行KVMonXP070105.exe:
"%ProgramFiles%\Internet Explorer\KVMonXP070105.exe" i
释放文件;
%ProgramFiles%\Internet Explorer\user32.dll
木马会尝试使用ntsd -c q -p命令结束KRegEx.exe和KVXP.kxp进程。
监视“瑞星注册表监控提示”、“IE执行保护”对话框,尝试发送“同意修改”、“确定”和“允许执行”命令;监视卡巴斯基“主动防御”、“主动防护”的“警报/警告/提示”对话框,尝试发送“允许”、“跳过”命令躲避反
病毒软件的阻拦,为自己开路。
在%Windows%目录生成的配置文件如下:
sysdn.ini
[mydown]
ver=070105
fn_exe=%ProgramFiles%\internet explorer\KVMonXP070105.exe
fn_dll_start=%ProgramFiles%\internet explorer\use070105.dll
winlk.ini [md5]
8e8d5165e1fd08f270a1242b3ff48eb7=2007010815511
清除步骤
==========
1. 删除启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"main"="rundll32.exe "%ProgramFiles%\Internet
Explorer\use070105.dll" mymain"
2. 删除文件:
%ProgramFiles%\Internet Explorer\KVMonXP070105.exe
3. 重新启动计算机
4. 删除文件:
%ProgramFiles%\Internet Explorer\use070105.dll
%ProgramFiles%\Internet Explorer\user32.dll
[推荐]木马KVMonXP070105.exe use070105.dll user32.dll 解决方案
您现在的位置: