kav.exe是卡巴斯基Kaspersky Anti-Virus反病毒軟體的一部分。
基本介紹
- 外文名:kav.exe
- 進程檔案:kav 或者 kav.exe
- 出品者:Kaspersky
基本信息,病毒,名稱,症狀,感染對象,傳播途徑,病毒分析,創建檔案,創建註冊表,訪問網路,手動解決辦法,
基本信息
kav - kav.exe - 進程信息
進程檔案: kav 或者 kav.exe
進程名稱: Kaspersky Anti-Virus Personal Component
進程名稱:
出品者: Kaspersky
屬於: Kaspersky Anti-Virus Personal
系統進程: 否
後台程式: 否
使用網路: 否
硬體相關: 否
常見錯誤: 未知N/A
記憶體使用: 未知N/A
安全等級 (0-5): 0
間諜軟體: 否
廣告軟體: 否
病毒: 否
木馬: 否
註:卡巴對電腦硬體要求很高,建議高配置用戶使用。
病毒
名稱
症狀
該樣本是使用“VC++”編寫的“下載者”,長度為“22,528”位元組,使用“exe”擴展名,通過檔案捆綁、網頁掛馬、下載器下載等方式進行傳播。病毒主要目的是下載病毒木馬。當用戶計算機感染此木馬病毒後, 用戶中毒後會出系統運行緩慢無故報錯,網路訪問異常,並且發現未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
檔案捆綁、網頁掛馬、下載器下載
病毒分析
1.病毒建立互斥體變數名:“ACDTEST……”,主要防止程式多次運行。
2.病毒獲得系統目錄路徑,將"C:\WINDOWS\System32\userinit.exe"與病毒自身比較,是否注入其中進程,如果注入成功,通過外部命令執行"C:\WINDOWS\explorer.exe" 打開應用程式。
3.如果注入不成功,將病毒檔案提升到"SeDebugPrivilege"的訪問許可權,並建立及修改註冊表的信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:Kav
數據:C:\WINDOWS\System32\kav.exe
以到達自啟動的目的。
並且將作業系統版本,網卡地址,主機名等發到黑客指定的網站。
5,病毒獲得臨時檔案路徑,在該目錄下創建%Temp%\ope1.tmp, 從指定網址下載大量病毒木馬到臨時檔案運行,然後自刪除。
創建檔案
%SystemRoot%\system32\drivers\etc\hosts
%Temp%\ope1.tmp
創建註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:Kav
數據:C:\WINDOWS\System32\kav.exe
訪問網路
http://360cnfuck.*****.info:9550/10825host/1002.txt
http://www.*****.info:3352/count.aspx
http://360cnfuck.*****.info:9550/id/ud.txt
手動解決辦法
手動刪除檔案
1.刪除 %Temp%\ope1.tmp
2.刪除 病毒源程式
3.導入正確的hosts檔案
手動刪除註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:Kav
數據:C:\WINDOWS\System32\kav.exe
變數聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時資料夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程式默認安裝目錄,通常為:“C:\ProgramFiles”
