KAVO 的病毒

20 09 2008
2007.10.30奕瑞科技
【台北訊】關於日前KAVO 的病毒,國內知名資訊安全方案供應商奕瑞科技對於提供此病毒的說明與解決方案。關於KAV0.exe 這類型的病毒,會另外產生ntdelect.com、kav0.dll、kav1.dll、等的病毒檔,其中有「ntdelect.com」和「autorun.inf」這兩個檔案,是從KAVO這個病毒,所產生的相關檔。目前此版本「ntdelect.com」已可以被偵測,「autorun.inf」也有解決的方式了!

1. 在「autorun.inf」的這個檔案中,檔案類型是唯讀系統隱藏檔,並再重新啟動電腦或重新載入儲存裝置時,會寫入機碼中,[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2],此目錄下會有{ {2972bac1-bdc3-11db-a36b-806d6172696f}}的子目錄,(註:會隨著每台電腦不同,ID值都會不同,但格式都是相同的),此ID目錄可能會有好幾個,在從此ID目錄中,尋找有[Shell\AutoRun\Command]和[Shell\AutoRun\open]和[Shell\AutoRun\explore],有這些項目的3層子目錄的ID目錄資料夾,會被更改寫入執行「ntdelect.com」這個檔案,造成你在儲存裝置上的右鍵選單中,無論你是雙擊儲存裝置目錄,或是點選右鍵選單的開啟或是檔案總管,都會去執行「ntdelect.com」這個檔案。

2. 在「ntdelect.com」這個檔案,檔案類型也是唯讀系統隱藏檔,會去呼叫KAVO相關的DLL檔,造成無法顯示隱藏檔和系統檔,並且做監視的動作,造成無法變更相關設定和機碼,並且執行後,會自動多開啟一個磁碟目錄的視窗,讓使用者以為是正常開啟視窗的動作,繼續使用,但是除了win98以前的系統,基本上預設會在同一視窗,開啟下一個目錄,除非有更改過設定。才會造成以新視窗開啟下一個目錄的動作。但若只有「ntdelect.com」這個檔案,在沒有上網的狀況下執行後,並無法做出上述動作,他無法自行複製,也對系統無法造成太大的影響,一且都需依賴KAVO相關的DLL檔。

 

目前關於KAVO這類型的病毒,在沒有變種的狀況下,卡巴斯基已經可以全部偵測到了。由於此病毒會有造成系統,無法顯示隱藏檔和植入autorun.inf的後遺症,因此針對這類型的病毒,可參考下述處理方式,即可清除完成。

1.清除暫存檔案 : Windows Temp 資料夾或 IE 暫存資料夾中的病毒檔案可能因系統正在使用中而無法清除, 且因這些資料夾中的檔案是 Windows 運作中產生的暫存檔,所以請依下列步驟刪除病毒檔案。

   a.開啟IE -> 工具 -> 網際網路選項 -> 一般 ,在中間 Temporary Internet File 內按下 刪除檔案, 勾選 刪除所有離線內容後點選確定。

   b.在開始 -> 程式集(所有程式) -> 附屬應用程式 -> 系統工具 中,選擇 清理磁碟將所有磁碟的資料清除。

2.關閉XP 系統還原 : 某些病毒藏匿在此,會隨著系統還原又恢復檔案,在 開始 -> 所有程式 -> 附屬應用程式 -> 系統工具 中,選擇 系統還原,關閉系統還原。

3.重開機在安全模式下掃毒 : 正在執行的程式,系統會阻擋防毒軟體刪除檔案,可在重開機時按 F8選擇安全模式下做掃毒。

或請下載詳細說明文件:完整掃毒步驟.doc

關於無法顯示隱藏檔和植入autorun.inf的後遺症,因不是病毒檔,所以奕瑞科技僅提供一手動還原此狀況的工具
工具請由此下載:NewGetSamples0908.zip

只要解壓縮後執行此檔案,重新開機後,即可還原此狀況。


留言 : Leave a Comment »

分類 : Uncategorized

新型態惡意程式攻擊手法

20 08 2008

轉載自國家資通安全會報技術服務中心(事件編號:ICST-ANA-2008-0010)

通告名稱:新型態惡意程式攻擊手法通告–磁碟MBR惡意程式

內容說明
技術服務中心近日發現新型態惡意程式,此類惡意程式藏身於磁碟主啟動磁區(Master Boot Record, MBR)之中,可能導致傳統電腦清除還原程序無法有效清除惡意程式。
此類惡意程式修改磁碟主啟動磁區啟動程式,於開機階段即取得控制權並在作業系統啟動後執行惡意程式,此手法與傳統惡意程式於作業系統下取得控制權的模式不同。
由於磁碟主啟動磁區於磁碟格式化(Format)時不會被更動,因此使用磁碟格式化無法清除此類惡意程式。另外,目前許多單位在發現電腦遭惡意程式感染時採用Ghost工具進行還原,例如使用「分割區還原 (Image to Partition)」等方式進行系統還原,由於此還原模式只會針對指定分割區進行資料還原,並不會更動到磁碟主啟動磁區,所以若感染此類惡意程式,可能在磁碟還原後仍無法清除惡意程式,導致重新開機後惡意程式再次感染作業系統的狀況。
清除此類惡意程式必須重建主啟動磁區,因此技術服務中心強烈建議各單位在電腦還原標準程序中新增「重建主啟動磁區」的步驟。
重建主啟動磁區可利用以下兩種方式:
1. 利用微軟公用程式FDISK,使用磁片開機後執行「FDISK /MBR」指令進行重建。
2. 利用微軟Windows開機光碟開機,並進入修復主控台,執行「fixmbr」指令進行重建。

影響平台
Microsoft Windows 95/98/2000//ME/XP/2003/Vista

影響等級

建議措施
請修改惡意程式清除還原標準程序,新增重建磁碟主啟動磁區(MBR)之步驟。


留言 : Leave a Comment »

分類 : Uncategorized