2007年12月13日 星期四

快報「kavo變種」(ntdeIect.com、autorun.inf)

今天一早,才剛打完卡就被同事叫住(連早餐都還沒有吞下去...),說電腦好像中毒了,我就先去看看是發生了什麼事...

不看還好,一看就發現kavo怎又染上他們,先前大流行時我印象中我有檢查過呀!結果仔細一看,發現好像又變種了,跟我先前寫的USB病毒的演化不太一樣。(無法直接套用現有的解kavo程式,因為已經變更檔名

最大的不同是原本的ntdelect.com --> ntdeIect.com(小寫的l-->大寫的I),而autorun.inf的內容沒有太大的差別,只是ntdelect.com的字串變成ntdeIect.com而已。

竟然中了,我也只好認命,就回想一下先前的解毒方式,並且參照惡意程式分析課的心得來處理看看,首先我就想辦法先手動讓這兩個討厭的檔案現形。



透過指令的方式:(把檔案的隱藏屬性取消)

attrib -s -r -h -a ntdeIect.com
attrib -s -r -h -a autorun.inf
把這兩個檔案上傳至VIRUSTOTAL:(摘錄結果如下)

ntdeIect.com的結果:(可點下連結觀看)
檔案 ntdeiect.com 接收於 2007.12.13 05:33:30 (CET)
當前狀態: 完成
結果: 8/32 (25%)

AntiVir - - TR/Crypt.NSPM.Gen
BitDefender - - Packer.Malware.NSAnti.J
CAT-QuickHeal - - (Suspicious) - DNAScan
eSafe - - suspicious Trojan/Worm
Microsoft - - VirTool:Win32/Obfuscator!Mal
Panda - - Suspicious file
Prevx1 - - Malware.Gen
Webwasher-Gateway - - Trojan.Crypt.NSPM.Gen
autorun.inf的結果:(可點下連結觀看)
檔案 AUTORUN.inf 接收於 2007.12.13 06:39:05 (CET)
當前狀態: 完成
結果: 9/32 (28.13%)

反病毒引擎 版本 最後更新 掃瞄結果
AhnLab-V3 2007.12.13.10 2007.12.12 TextImage/Autorun
Authentium 4.93.8 2007.12.13 IS/Autorun
Avast 4.7.1098.0 2007.12.12 INF:Autorun-G
DrWeb 4.44.0.09170 2007.12.12 Win32.HLLW.Autoruner.921
F-Prot 4.4.2.54 2007.12.12 IS/Autorun
McAfee 5184 2007.12.12 Generic!atr
Panda 9.0.0.4 2007.12.12 Trj/Lineage.GOV
Sophos 4.24.0 2007.12.13 Mal/AutoInf-A
TheHacker 6.2.9.157 2007.12.12 Trojan/Small.autorun
從這兩個檔案的交叉比對,結果只有Panda可以兩個檔案都抓的到,不過這只是用來參考的依據,並不代表軟體能力唷!在此先行說明。

我的解決方式:(暫時抑制

1.清空暫存檔(IE、TEMP)、停系統還原顯示所有檔案(失效,KAVO特性)
2.將登錄檔中RUN路徑下有關KAVO、KAVA或TASO的機碼移除
2.進安全模式(F8)
3.手動建立autorun.inf、ntdeIect.com置於各槽的根目錄。(DOS模式下執行)
(不確定感染途徑,目前先用抑制的方式阻止,記得建立檔案設定唯讀)
4.清除kavo.exe、kavo0.dll(安全模式下),一般模式可透過killbox處理。
5.重新開機。
6.檢查是否有kavo.exe或kavo0.dll執行,登錄檔是否還有kavo寫入。

說明:

因為這隻變種可能太新,連上Google查詢到的資料也有限,我就只能用抑制的方式,阻止它產生(因為我解讀不出ntdeIect.com的內容),不確定它的感染方式,可以肯定的是,你會同時受到kavo.exe(reg檔中的名稱可能會變kava,但是主程式仍為kavo.exe)、kavo0.dll的感染。

有網友提供國外的解毒,但是因為該網頁為非英文語系,且該程式為EXE檔,無法得知其完整內容,所以沒有放上來給大家分享(以防萬一)。

1.感染路徑為:(感染的是W2K,所以是在WINNT下)

C:\WINNT\system32\kavo.dll
C:\WINNT\system32\kavo0.dll
各槽的根目錄下有autorun.inf和ntdeIect.com兩個檔

PS:檔案也會躲在系統的TEMP中,kavo的位置不一定(可在REG檔中找到路徑)

2.顯示隱藏檔:

因為KAVO的特性就是會阻止你打開所有檔案顯示,你可以到:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue的數值改成1,就可以在一般模式下看見隱藏檔。(如果你沒有再重新啟動一次該惡意程式的話...)

其實,我承認我現在用的手法還不是真的算解毒(惡意程式),因為還是不確定它的實際影響,只是暫時擋住它繼續肆虐,如果有人想要autorun.inf、ntdeIect.com的樣本檔(我已壓縮並加密),可以留言或來信,應該沒多久各家防毒軟體就會釋出相關解決方法了吧!

最後,附上autorun.inf的內容(ntdeIect.com經過編碼不適合貼上來)
Autorun.Inf
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdeIect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdeIect.com


PS:經朋友協助,找到趨勢的手動清除:趨勢-WORM_AUTORUN.QA