认识Kavo病毒及原理.doc

一、認識Kavo病毒及原理 首先我們要認識的檔案一共有三個，病毒Kavo.exe、及 autorun.inf。 １、Kavo.exe：它會在各個磁碟機下面建立兩個檔案，也就是和autorun.inf。另一個特色就是不斷使用佔據記憶體，導致電腦運行越來越慢，甚至使電腦當機。 ２、N：它是用來複製Kavo.exe的程式，會在C:\windows\system32建立Kavo.exe病毒。 ３、Autorun.inf：這個檔案最原始的基本功能是”當光碟放入電腦中時，自動開啟光碟內的安裝程式”。也就是說，當一片光碟放入電腦時，系統會先偵測光碟裡autorun.inf，並開啟內部設定所指向的程式，而一般也就是安裝程式。但是這次的autorun.inf並不是被放在光碟中，而是放在所有的磁碟機，也就是說，每當使用者開啟硬碟時，系統便會先偵測這個檔案。而這次的病毒在autorun.inf寫的是什麼？不外乎就是．因此讓這個病毒能夠不斷循環。 附上一個病毒感染途徑的流程說明： 當隨身碟放入電腦→系統率先偵測autorun.inf→autorun.inf指向→在電腦裡放入病毒Kavo.exe→Kavo.exe在所有磁碟機下建立和autorun.inf→隨身碟轉入別的電腦or使用者開啟磁碟→回到系統偵測autorun.inf，因此不斷循環。 二、Kavo病毒對於電腦的影響 Kavo.exe會造成即時通無法正常登入，當使用者輸入帳號、密碼後，即時通就會自動關閉。 另一個所造成的影響，也是用來偵測自己電腦是否中毒的方法。從桌面上開啟”我的電腦”→打開C碟，如果電腦正常，則你現在的視窗只會有一個，也就是C:\；相對於中毒的電腦，C碟會以新的視窗開啟，也就是你會有兩個視窗，一個是我的電腦，一個是C碟。 此病毒會嚴重吃掉不少記憶體，導致整個電腦速度變慢！還有一個，就是此病毒會不斷利用更改相容性後的即時通增加CPU負擔！請盡快刪除此病毒！ 三、確認自己電腦是否真的中毒 當上述兩個情況都出現在您的電腦時，您便要警覺您的電腦有中毒的可能！我們用這個方法來確定自己電腦是否真的中毒，首先從左下角開始→執行→輸入”C:\autorun.inf”→確定，如果有筆記本形式的視窗顯示，那便能夠確定您的電腦真的中毒了！ 還是不信？做個小預言，您開啟的autorun.inf裡面的內容是不是下面這一段英文字呢？ [AutoRun]open=;shell\open=Open(O)shell\open\Command=shell\open\Default=1;shell\explore=Manager(X)shell\explore\Command= 如果是，那就很直接的告訴您，您的電腦真的中毒了！如果有看過第一段文章的人，可以在上面這段文中發現這麼一行文字open=沒錯，也就是一開始所提到的，autorun.inf內部設定指向 四、使用防毒軟體（卡巴斯基）掃毒訊息參考資料 以卡巴斯基掃毒時，所出現的訊息，供參考未發現：病毒 Packed.Win32.NSAnti.r　檔案：C:\　　　　　　　＊已刪除：病毒 Packed.Win32.NSAnti.r　檔案：C:\WINDOWS\system32\kavo.exe已刪除：病毒 Packed.Win32.NSAnti.r　檔案：C:\WINDOWS\system32\kavo0.dll已刪除：病毒 Packed.Win32.NSAnti.r　檔案：C:\WINDOWS\system32\kavo1.dll由於似乎無法直接刪除，必須重新啟動，啟動後會被刪除，所以我顯示的資料中會顯示未發現。不當只是C:\，其他磁碟機（隨身碟．記憶卡．MP3）都有感染的可能已刪除：病毒 Packed.Win32.NSAnti.r 檔案：K:\（這是我的記憶卡） 五、最簡單的解毒方法！ 作者:張書維(book維)E-mail 即時通 game764202@.tw布洛格 /shu-wei /group/shuweii/files /group/shu_wei/files選擇這個 kavo_killer.ex，下載時將檔名改成 kavo_killer.exe就可以用了。 還有非常重要的一點提醒大家！ 這個病毒是經由隨身碟、MP3等傳播，請您要連同這些磁碟機一同解毒，也就是說你手邊所有的隨身碟都要解過喔！呼籲大家最好能夠準備防毒程式，避免以後發生類似情形！ 六、執行kavo_killer.exe的畫面如下，按下【開始清除】即可。 資料來源： /shu-wei/article?mid=2prev=9next=797 /jw!mStclPGIGRgjfPlpE__5/