文件名称：kavo.exe

文件大小：116464bytes

AV命名：

Trojan-PSW.Win32.OnLineGames.pcm（Kaspersky）

Trojan.PSW.Win32.GameOL.lor（Rising）

Worm/AutoRun.Y（AVG）

编写语言：delphi

文件MD5：3b08963e3b2cae9e3b4dc38b21b2a69d

病毒类型：盗号木马

行为分析：

1、释放病毒文件：

C:WINDOWSsystem32kavo.exe113759字节

C:WINDOWSsystem32kavo0.dll96768字节

C:WINDOWSsystem32kavo1.dll96768字节

2、添加注册表，开机启动：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

kava=REG_SZ,"C:windowssystem32kavo.exe"

3、修改注册表，记录下载地址的版本：

HKEY_CLASSES_ROOTCLSIDMADOWN

当前为："cdfty1.7"

4、启动IE进程，连接网络下载木马，释放：

C:WINDOWSsystem32tavo.exe

C:WINDOWSsystem32tavo0.dll

5、tavo0.dll和kavo1.dll则注入系统进程，监视鼠标、键盘操作，盗取木马。

6、释放驱动，随机命名的，然后删除自身。

7、修改注册表，破坏显示隐藏文件功能。

8、遍历磁盘，生成病毒文件和autorun.inf

解决方法：

1、下载SREng，然后断开网络连接。

2、打开SREng，删除注册表键：

(注册表值)kava和(注册表值)tava

3、重启计算机，删除文件：

C:WINDOWSsystem32kavo.exe113759字节

C:WINDOWSsystem32kavo0.dll96768字节

C:WINDOWSsystem32kavo1.dll96768字节

C:WINDOWSsystem32tavo.exe

C:WINDOWSsystem32tavo0.dll

还有每个磁盘下的autorun.inf和病毒文件，也删除，建议用winrar

4、其他：

修改注册表修复显示隐藏文件功能:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

(*)(注册表值)Hidden

REG_DWORD,2修改为REG_DWORD,1

(*)(注册表值)ShowSuperHidden

REG_DWORD,0修改为REG_DWORD,1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

(*)(注册表值)CheckedValue

REG_DWORD,0修改为REG_DWORD,1