2007年12月13日 星期四

快報「kavo變種」(ntdeIect.com、autorun.inf)

今天一早,才剛打完卡就被同事叫住(連早餐都還沒有吞下去...),說電腦好像中毒了,我就先去看看是發生了什麼事...

不看還好,一看就發現kavo怎又染上他們,先前大流行時我印象中我有檢查過呀!結果仔細一看,發現好像又變種了,跟我先前寫的USB病毒的演化不太一樣。(無法直接套用現有的解kavo程式,因為已經變更檔名

最大的不同是原本的ntdelect.com --> ntdeIect.com(小寫的l-->大寫的I),而autorun.inf的內容沒有太大的差別,只是ntdelect.com的字串變成ntdeIect.com而已。

竟然中了,我也只好認命,就回想一下先前的解毒方式,並且參照惡意程式分析課的心得來處理看看,首先我就想辦法先手動讓這兩個討厭的檔案現形。



透過指令的方式:(把檔案的隱藏屬性取消)

attrib -s -r -h -a ntdeIect.com
attrib -s -r -h -a autorun.inf
把這兩個檔案上傳至VIRUSTOTAL:(摘錄結果如下)

ntdeIect.com的結果:(可點下連結觀看)
檔案 ntdeiect.com 接收於 2007.12.13 05:33:30 (CET)
當前狀態: 完成
結果: 8/32 (25%)

AntiVir - - TR/Crypt.NSPM.Gen
BitDefender - - Packer.Malware.NSAnti.J
CAT-QuickHeal - - (Suspicious) - DNAScan
eSafe - - suspicious Trojan/Worm
Microsoft - - VirTool:Win32/Obfuscator!Mal
Panda - - Suspicious file
Prevx1 - - Malware.Gen
Webwasher-Gateway - - Trojan.Crypt.NSPM.Gen
autorun.inf的結果:(可點下連結觀看)
檔案 AUTORUN.inf 接收於 2007.12.13 06:39:05 (CET)
當前狀態: 完成
結果: 9/32 (28.13%)

反病毒引擎 版本 最後更新 掃瞄結果
AhnLab-V3 2007.12.13.10 2007.12.12 TextImage/Autorun
Authentium 4.93.8 2007.12.13 IS/Autorun
Avast 4.7.1098.0 2007.12.12 INF:Autorun-G
DrWeb 4.44.0.09170 2007.12.12 Win32.HLLW.Autoruner.921
F-Prot 4.4.2.54 2007.12.12 IS/Autorun
McAfee 5184 2007.12.12 Generic!atr
Panda 9.0.0.4 2007.12.12 Trj/Lineage.GOV
Sophos 4.24.0 2007.12.13 Mal/AutoInf-A
TheHacker 6.2.9.157 2007.12.12 Trojan/Small.autorun
從這兩個檔案的交叉比對,結果只有Panda可以兩個檔案都抓的到,不過這只是用來參考的依據,並不代表軟體能力唷!在此先行說明。

我的解決方式:(暫時抑制

1.清空暫存檔(IE、TEMP)、停系統還原顯示所有檔案(失效,KAVO特性)
2.將登錄檔中RUN路徑下有關KAVO、KAVA或TASO的機碼移除
2.進安全模式(F8)
3.手動建立autorun.inf、ntdeIect.com置於各槽的根目錄。(DOS模式下執行)
(不確定感染途徑,目前先用抑制的方式阻止,記得建立檔案設定唯讀)
4.清除kavo.exe、kavo0.dll(安全模式下),一般模式可透過killbox處理。
5.重新開機。
6.檢查是否有kavo.exe或kavo0.dll執行,登錄檔是否還有kavo寫入。

說明:

因為這隻變種可能太新,連上Google查詢到的資料也有限,我就只能用抑制的方式,阻止它產生(因為我解讀不出ntdeIect.com的內容),不確定它的感染方式,可以肯定的是,你會同時受到kavo.exe(reg檔中的名稱可能會變kava,但是主程式仍為kavo.exe)、kavo0.dll的感染。

有網友提供國外的解毒,但是因為該網頁為非英文語系,且該程式為EXE檔,無法得知其完整內容,所以沒有放上來給大家分享(以防萬一)。

1.感染路徑為:(感染的是W2K,所以是在WINNT下)

C:\WINNT\system32\kavo.dll
C:\WINNT\system32\kavo0.dll
各槽的根目錄下有autorun.inf和ntdeIect.com兩個檔

PS:檔案也會躲在系統的TEMP中,kavo的位置不一定(可在REG檔中找到路徑)

2.顯示隱藏檔:

因為KAVO的特性就是會阻止你打開所有檔案顯示,你可以到:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue的數值改成1,就可以在一般模式下看見隱藏檔。(如果你沒有再重新啟動一次該惡意程式的話...)

其實,我承認我現在用的手法還不是真的算解毒(惡意程式),因為還是不確定它的實際影響,只是暫時擋住它繼續肆虐,如果有人想要autorun.inf、ntdeIect.com的樣本檔(我已壓縮並加密),可以留言或來信,應該沒多久各家防毒軟體就會釋出相關解決方法了吧!

最後,附上autorun.inf的內容(ntdeIect.com經過編碼不適合貼上來)
Autorun.Inf
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdeIect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdeIect.com


PS:經朋友協助,找到趨勢的手動清除:趨勢-WORM_AUTORUN.QA

9 則留言:

  1. 你好!我最近在研究分析惡意程式的技巧,可以把病毒的樣本檔傳給我嗎?有那兩個 dll 檔的樣本檔嗎?我的電郵是 kennetht (在) gmail 謝謝!

    回覆刪除
  2. 您好,請問這篇文是否可以轉載?

    -GCF Ginyuki
    http://www.gcforum.org/

    回覆刪除
  3. circle:我應該已經mail給你了唷!你應該已經收到了才是。

    ginyuki:沒有問題!可以轉載,只要註明來源就好!你真客氣,歡迎你多多指較。^^

    回覆刪除
  4. ntdeiect.com新變種實在太強了,刪除了C碟裡的會自動在D碟又產生,相反亦同,用安全模式下,DOS:/A:RH方式,或是Regedit方式,通通刪除C碟與D碟裡的ntdeiect.com之後,1不幸的是重開機之後它還是又在C碟與D碟裡產生,真是殺不死!!完全超越netelect.com與autorun.inf的境界,請問真有人能徹底殺除這支最新病毒嗎?

    回覆刪除
  5. WELLS:首先應該要先看你是啥系統吧!如果是XP的話可能會好一點...2K比較棘手。

    1.一開機就又回來應該是你登錄檔沒有殺乾淨吧!?

    (這有可能被改過HKCU\Software\Microsoft\Windows\Cur
    rentVersion\Explorer\MountPoints2
    -->直接刪除 MountPoints2 )

    2.手動進DOS下刪除任何東西時,絕對不要去點擊C:或是D:,因為你一點開後,它又重新啟動一次了!

    (真的要開啟C:或D:的話,可以在DOS下打:「EXPLORER C:也可開啟C槽」)

    現在坊間的批次檔或是解毒程式我沒有去找過是不是已經有人針對它改寫,不過...自己動手應該還是可以解決才是。

    有沒有人可以超越唷!^^"老實說我自己掌控的電腦從沒有中過這一類的惡意程式...大多是在工作上遇見的。

    所以,最重要的還是使用者的習慣加上適當的防護程式吧!

    (PS:甚至有人提供這一類惡意程式,是透過那些IP的網頁來更新IP:60.169.0.182 ~ 60.169.0.188,你也可以透過防火牆來攬阻,我自己沒有試過,所以僅供參考。)

    回覆刪除
  6. 這位大大您好,感謝您快速的解答,我想再把情況說明清楚一點:
    1.我用XP
    2.登錄檔裡autorun.inf,ntdelect.com,
    ntdeiect.com,kavo...等等都清乾淨
    (殺到搜尋後都找不到了,算不算輕乾淨?)
    3.DOS安全模式下,指令:
    c:del ntdeiect/a:rh
    d:
    d:del ntdeiect/a:rh
    d:dir ntdeiect.com/a
    d:找不到檔案
    c:
    c:dir ntdeiect.com/a
    c:找不到檔案
    也都刪除了啊! 您說的explorer指令要怎麼下?我不太清楚耶!
    4.照您說的直接刪除MountPoints2機碼了
    5.重開機之後,依然選擇DOS安全模式,驚訝的是:
    不論是c:dir/a 或是d:dir/a
    這支ntdeiect.com 病毒依然死灰復燃!!

    回覆刪除
  7. WELLS:我想你應該是沒有處理掉那個EXPLORER裡內含的程式kavo0或1.DLL(需要先把explorer停止後才可以刪除)

    你可以進安全模式下做清除的動作,不過很多東西都是要用指令來解決...(如果你有兩台電腦的話,我建議你可以把那個硬碟拔去另外一顆掃...除了防毒軟體之外、也透過掃惡意程式(木馬、廣告)的軟體掃描一次)

    如果你要使用指令來解決的話,可以到下面參考下面這一篇的做法:
    http://forum.icst.org.tw/phpBB2/
    viewtopic.php?t=13743

    回覆刪除
  8. 重開之後病毒復燃,是不是系統還原忘了關閉?

    回覆刪除
  9. RAFAEL:

    你所說的也不無可能,只是我覺得是因為他有些動作造成病毒重新啟動的關係。

    不然在xp上要殺毒,免不了就是關系統環原、清光所有暫存檔(temp、cache...等),然後將自己能應用的防毒軟體更新到最新的病毒碼後(如果網路沒被干擾而無法更新的話!)

    再切進去安全模式處理(不具網路功能),可能會讓問題單純一點。

    只是kavo系列的是你只要從我的電腦那兒點擊開啟磁牒機,就又重複感染了!

    我想這才是關鍵點吧!

    不過,還是多謝rafael的提醒唷!

    回覆刪除