討論 - 有關於 kavo.exe & ntdelect.com 病毒

[getter]

這一次 kavo.exe & ntdelect.com 病毒，跟大多數 USB 病毒一樣
除了用 USB 傳染外，亦可利用網路傳播(廢話)

想必也有不少人像我一樣中獎

不過此次的病毒目前，暫時無防毒軟體可以有效防堵。多數只能使用解毒器
或是手動解毒。

經過明察暗訪 + 本人給他中毒來研究，確定一些此次病毒檔名及所在及部份行為
再此篇說明讓大家研究看看。


檔案部份：
-----------------------------------------------------------
1.除了網路磁碟機外，會在每個可以有效寫入的磁碟機代號的 \ 處寫入
autorun.inf、ntdelect.com 兩個檔案，並將檔案屬性設定成唯讀、
隱藏、系統。病毒檔 ntdelect.com 與 XP 系統檔 ntdetect.com 檔
名類似。中間的 l 與 t 僅一個字母的差異。誤刪系統檔的話會不斷重新
開機。

檔名小寫時
病毒檔 ntdelect.com
系統檔 ntdetect.com

檔名大寫時
病毒檔 NTDELECT.COM
系統檔 NTDETECT.COM

2.在 C:\Winddows\System32 中，留下兩個駐留檔案，分別是 kavo.exe、
kavo0.dll 兩個檔案，並將檔案屬性設定成唯讀、隱藏、系統。
那個 KAVO.EXE 則是仿知名的防毒軟體 KAV 而來，實際上防毒軟體 KAV 的
執行檔不見得就市 KAV.EXE 而是其他的檔名。


3.被 AVAST 防毒軟體，捕捉到的 C:\Winddows\System32\wincab.sys ，
若是沒有做處理則該黨會自動消失，所以是短暫的任務檔，要是讓防毒軟體去
處理它時，會不斷出現。檔案屬性為保存。

4.在 Winddows\Prefetch 中也有 NTDELECT.COM-16A3E489.pf 的檔案。
檔案屬性為保存。

5.網路上指出的變種或攔截到的檔案：

C:\Winddows\system32\fly32.dll
C:\Winddows\system32\poor32.dll
C:\Winddows\system32\kavo1.dll
C:\Winddows\system32\kav0.dll
C:\Winddows\system32\kav1.dll


-----------------------------------------------------------
登錄檔機碼的部份，我只能列出容易判斷的部份，應該還是有不易判斷的方

共同項目：

語法:

1.把可以檢視隱藏的的功能關閉。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000 // 原本為 1 改成 0


2.增加機碼 LEGACY_TRLMNCZQ，不知道做啥用途。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ\0000]
"Service"="trlmnczq"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="trlmnczq"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="trlmnczq"


3.讓病毒開機自動執行。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kava"="C:\\WINDOWS\\system32\\kavo.exe"


4.在 MUICache 中留下紀錄。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\kavo.exe"="kavo"
"C:\\ntdelect.com"="ntdelect" ---> 有效寫入的磁碟機所在越多則越多
"D:\\ntdelect.com"="ntdelect" ---> 有效寫入的磁碟機所在越多則越多


5.在 MountPoints2 機碼中的 C、D、E … 留下紀錄(磁碟機代號越多該機碼就越多)，C 代表 C:，依此類推。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C]
"BaseClass"="Drive"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell]
@="Open"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun]
"Extended"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command]
@="C:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\explore]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\explore\Command]
@="C:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Command]
@="C:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Default]
@="1"

在來是每台電腦的某個特定機碼，數值均不同：

語法:

6.在機碼 {8603ec90-621d-11dc-86c0-00c1260a8394} 中紀錄，每台電腦的該項機碼，數值均不同。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,00,\
  01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,00,00,10,00,00,09,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell]
@="Open"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\AutoRun]
"Extended"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\AutoRun\command]
@="G:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\explore]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\explore\Command]
@="G:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open\Command]
@="G:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open\Default]
@="1"



在 S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx 中留下串改或記錄，每組 xxx 均相同，但每台電腦不同 

7.病毒加入的，應該也是用在遮蔽隱藏檔不給看
[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000   
                     

8.讓病毒開機以某個身份自動執行。
[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Run] 
"kava"="C:\\WINDOWS\\system32\\kavo.exe"


9.在以某個身份機碼 {8603ec90-621d-11dc-86c0-00c1260a8394} 中紀錄
[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,00,\
  01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,00,00,10,00,00,09,00,00,00

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell]
@="Open"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\AutoRun]
"Extended"=""

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\AutoRun\command]
@="G:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\explore]

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\explore\Command]
@="G:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open]

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open\Command]
@="G:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open\Default]
@="1" 


10.在以某個身份 MountPoints2 機碼中的 C、D、E … 留下紀錄(磁碟機代號越多該機碼就越多)，C 代表 C:，依此類推。
[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C]
"BaseClass"="Drive"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell]
@="Open"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun]
"Extended"=""

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command]
@="C:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\explore]

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\explore\Command]
@="C:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open]

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Command]
@="C:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Default]
@="1"

註：由於登錄檔的機碼被修改，其中較明顯的為檔案總管的檢視隱藏檔的功能被關閉了。

以上就是目前分析出來的狀況，光用殺毒器、殺毒批次黨可能清不完全，建議需使用 Sysdoctor 或 Windoctor
或 CCleaner 之類的軟體作登錄檔檢查。因為手動作太累人了。

[猜謎人]

似乎重灌較快

[getter]

引用:

作者: 猜謎人

似乎重灌較快

怎麼跟我想的一樣ㄌ

[JeffreyIgnig]

我是將原先開啟的"kava"用魔法兔子解除...就醬子而已
ps:令我納悶的事情是我未何明明重了毒
...卻完全沒有樓主所說的症狀

[getter]

1.沒有裝防毒軟體，那可是沒有感覺的。就算有裝防毒軟體未必都攔截的到，就算有攔截檔案也未竟相同。
2.此 kavo 病毒的相關檔案多以隱藏、系統屬性存在，也就是具備某種程度的隱藏不易發覺。
3.可以試著開啟檔案總管的檢視隱藏檔的功能看看如果仍不能檢視隱藏檔，表示確實被修感改與植入。
4.據友人私下透露此病毒有變種的樣子。
5.不同的 Windows 也有不同的狀況，如 XP 與 2000 就不同。

[mary]

請問大大:
yt8a.exe的病毒不知是否與此有關?
因為我在我的電腦中有發現該檔案, 在機碼中也有, 但是找不到kavo.exe相關的機碼或檔案. 只是在C:\ D:\ 下也都有autorun.inf 及 ntdelect.com
剛開始用德國小紅傘掃毒後, C/D槽都無法用滑鼠點兩下正常開啟.
後來刪掉yt8a.exe, 並去檢查機碼, 刪除相關的機碼後才ok

另外, 請問各位大大, 若覺得電腦似乎在向外傳送資料, 有沒有什麼指令或方式可以檢查傳送目的的IP呢?

謝謝大家.

Mary

[mary]

除了魔法兔子, 網路上還有提供其kavo病毒之解毒程式, 大家可以參考
1. DelAutorun-Virus.bat
相關連結: http://ns2.ublink.org/phpbb/viewtopic.php?p=2072
2. EFix.exe
相關連結:http://reinfors.googlepages.com/main.html
網友分享病毒資訊: http://reinfors.googlepages.com/viruslist.html
3. kavo_killer.exe
相關連結:http://sx.cg2es.tnc.edu.tw/schools/antivirus/ (台南七股國小)
該網頁的下載只提供給校內, 但會提供官網連結

我個人目前清毒的方式是, 先用德國小紅傘掃毒.
再將各槽中的 autorun.inf 清除, 找到 autorun.inf 中對應的程式(ex:yt8a.exe), 將所有磁碟槽清掃一遍, 刪除這個執行檔.
再執行regedit, 清查機碼, 將yt8a.exe相關的機碼清除.

不知有沒有清乾淨, 不過現在系統看來還算正常. 尚在觀察中

Mary