科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道分析清除Trojan.Win32.KillWin.ee病毒(下)

分析清除Trojan.Win32.KillWin.ee病毒(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒日新月异的今天,越来越多的伪装及新型变种是一天接一天的疯狂,面对如此情况,很多网民是只能一次又一次的进行系统还原或者是重装系统。

来源:论坛整理 2008年6月24日

关键字: 木马 病毒查杀 病毒

  • 评论
  • 分享微博
  • 分享邮件
病毒删除卡卡助手
    到此时病毒依然没有停手,其开始查找并删除卡卡助手的相关启动,其内容如下:
    gameover.reg:
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]
"Debugger"="C:\\winnt\\system32\\gameover.exe"
    从而进行劫持卡卡主程序并将其指向释放的病毒。

    小提示:从这里%SystemRoot%\system32\可以看出作者针对的是WIN2K系列,因为刚才的WINRAR释放脚本使用的是环境变量,只有在WIN2K系列操作平台中才是WINNT文件夹,而在XP里是WINDOWS\system32\,所以这个劫持指向无效。

    重要注释
    %System32%是一个可变路径,病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
    %Temp%   = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\       WINDODWS所在目录
    %DriveLetter%\    逻辑驱动器根目录
    %ProgramFiles%\    系统程序默认安装目录
    %HomeDrive% = C:\ 当前启动的系统的所在分区
    %Documents and Settings%\ 当前用户文档根目录

破坏系统的gameover.exe
    病毒在对卡卡劫持后,开始进行下一步活动,在系统中放入gameover.exe程序进行系统破坏。其实gameover.exe也是一个自解压缩包,内含自解压脚本命令如下:
    Path=C:\
    SavePath
    Silent=1
    Overwrite=1
    释放了0字节的同名空文件替换以下系统文件,破坏系统启动:
    AUTOEXEC.BAT
    boot.ini
    bootfont.bin
    CONFIG.SYS
    IO.SYS
    MSDOS.SYS
    NTDETECT.COM
    Ntldr

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章