【木馬】kavo 隨身碟病毒樣本

**poorstudent** · 2007-09-14, 09:44 AM

作者：天氣預報

怪的是vt的賽門鐵克是掃得到
可是我解壓縮是看不到的

有的防毒軟體很神奇，
先砍而不通知的。

**tjy** · 2007-09-14, 02:09 PM

作者：majimmy

我的 NOD32 有跳出警告視窗
但不能將他刪除 =.="

超毒的~我家的電腦全中鏢....
nod32應該可以解了。

**iorittn** · 2007-09-17, 07:45 AM

avast今天更新的病毒碼終於可以抓了
反應慢了好幾天orz

**been616110** · 2007-09-17, 08:16 PM

F-Secure Client Security 7.00 build 515 解壓縮時掃到
壓縮檔掃不到

**sp113377** · 2007-09-20, 08:17 PM

完全看不懂事什麼

http://www.pczone.com.tw/thread/11/10222/
新會員麻煩上面連結先看一下吧，無意義的回文實在...

**pilighost** · 2007-10-01, 03:23 PM

10/1 NOD32 (2561)只能隔離不能刪除

**martyiori** · 2007-10-02, 01:17 PM

作者：天氣預報

AhnLab-V3 2007.9.11.1 2007.09.12 -
AntiVir 7.6.0.5 2007.09.12 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2007.09.12 -
Avast 4.7.1043.0 2007.09.11 -
AVG 7.5.0.485 2007.09.12 Obfustat.NYG
BitDefender 7.2 2007.09.12 DeepScan:Generic.PWStealer.2.96530284
CAT-QuickHeal 9.00 2007.09.11 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.12 -
DrWeb 4.33 2007.09.12 -
eSafe 7.0.15.0 2007.09.11 suspicious Trojan/Worm
eTrust-Vet 31.1.5128 2007.09.12 Win32/NSAnti
Ewido 4.0 2007.09.12 -
FileAdvisor 1 2007.09.12 -
Fortinet 3.11.0.0 2007.09.12 -
F-Prot 4.3.2.48 2007.09.12 -
F-Secure 6.70.13030.0 2007.09.12 -
Ikarus T3.1.1.12 2007.09.12 Generic.PWStealer.2
Kaspersky 4.0.2.24 2007.09.12 -
McAfee 5117 2007.09.11 -
Microsoft 1.2803 2007.09.12 -
NOD32v2 2524 2007.09.12 -
Norman 5.80.02 2007.09.12 -
Panda 9.0.0.4 2007.09.11 Suspicious file
Prevx1 V2 2007.09.12 -
Rising 19.40.22.00 2007.09.12 -
Sophos 4.21.0 2007.09.12 -
Sunbelt 2.2.907.0 2007.09.12 -
Symantec 10 2007.09.12 Infostealer.Gampass
TheHacker 6.1.10.184 2007.09.11 -
VBA32 3.12.2.4 2007.09.12 MalwareScope.Worm.Viking.3
VirusBuster 4.3.26:9 2007.09.12 -
Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Crypt.NSPM.Gen

我在廠區抓到的Kavo.exe掃出來的結果又不一樣了，很多防毒軟體還抓不到
他是隱藏檔，嘗試更改他的屬性時會發現隱藏選項是灰色無法更改
中獎的PC在一般模式下他會讓妳無法更改設定開啟隱藏檔，安全模式還沒試過
傳染媒介透過隨身碟，中毒PC會在隨身碟裡放一個ntdelect.com檔
一樣是隱藏檔，隱藏選項是灰色無法更改
隨身碟再插入另一台PC，那台PC也會中
所以有中獎的隨身碟也要檢查一下
中獎的電腦可能還會出現kavo0.dll，kavo1.dll.....等等檔案
公司的OFFICESCAN抓的到KAVO但抓不到ntdelect.com
等於沒用 ......

今天早上才解了兩台，不知道還會不會更多人中獎

------------------------------------------------------------------

檔案 kavo.exe 接收於 2007.10.02 06:55:22 (CET)
當前狀態: 正在讀取 ... 隊列中等待中掃瞄中完成未發現停止

結果: 12/32 (37.5%)
正在讀取服務器訊息中...
您的檔案所排隊列位置: 1.
預計開始時間為 39 和 56 秒之間.
掃瞄完成前請勿關閉窗口.
目前針對您的檔案所進行的掃瞄進程已停止, 我們將會在稍後恢復.
如果您的等候時間超過 5 分鐘, 請重新發送檔案.
您的檔案目前正在被 VirusTotal 掃瞄中,
結果將會稍後完成時生成.
格式化文字列印結果
您的文件已過期或不存在.
目前服務已停止, 您的檔案將會稍後的未知時間內進行掃瞄 (位置: ).

您可以繼續等待回應 (自動重新整理) 或者在下面的表單內輸入您的電子郵件地址, 並按下 "獲取", 當掃瞄完成時, 系統會自動給您發送電子郵件通知.
Email:

反病毒引擎版本最後更新掃瞄結果
AhnLab-V3 2007.10.2.0 2007.10.01 -
AntiVir 7.6.0.18 2007.10.01 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2007.10.02 -
Avast 4.7.1043.0 2007.10.01 -
AVG 7.5.0.488 2007.10.01 -
BitDefender 7.2 2007.10.02 -
CAT-QuickHeal 9.00 2007.10.01 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.10.02 -
DrWeb 4.33 2007.10.01 Trojan.Nsanti.Packed
eSafe 7.0.15.0 2007.10.01 suspicious Trojan/Worm
eTrust-Vet 31.2.5178 2007.10.01 Win32/NSAnti
Ewido 4.0 2007.10.01 -
FileAdvisor 1 2007.10.02 -
Fortinet 3.11.0.0 2007.10.02 -
F-Prot 4.3.2.48 2007.10.01 -
F-Secure 6.70.13030.0 2007.10.02 Packed.Win32.NSAnti.r
Ikarus T3.1.1.12 2007.10.02 MalwareScope.Worm.Viking.3
Kaspersky 7.0.0.125 2007.10.02 Packed.Win32.NSAnti.r
McAfee 5131 2007.10.01 -
Microsoft 1.2803 2007.10.02 -
NOD32v2 2564 2007.10.02 -
Norman 5.80.02 2007.10.01 -
Panda 9.0.0.4 2007.10.01 Suspicious file
Prevx1 V2 2007.10.02 Malware.Gen
Rising 19.43.00.00 2007.10.01 -
Sophos 4.22.0 2007.10.02 -
Sunbelt 2.2.907.0 2007.10.02 -
Symantec 10 2007.10.02 -
TheHacker 6.2.6.075 2007.10.01 -
VBA32 3.12.2.4 2007.10.01 MalwareScope.Worm.Viking.3
VirusBuster 4.3.26:9 2007.10.01 -
Webwasher-Gateway 6.0.1 2007.10.01 Trojan.Crypt.NSPM.Gen

-------------------------------------------------------------------
檔案 ntdelect.com 接收於 2007.10.02 06:55:42 (CET)
當前狀態: 正在讀取 ... 隊列中等待中掃瞄中完成未發現停止

結果: 12/32 (37.5%)
正在讀取服務器訊息中...
您的檔案所排隊列位置: 1.
預計開始時間為 39 和 56 秒之間.
掃瞄完成前請勿關閉窗口.
目前針對您的檔案所進行的掃瞄進程已停止, 我們將會在稍後恢復.
如果您的等候時間超過 5 分鐘, 請重新發送檔案.
您的檔案目前正在被 VirusTotal 掃瞄中,
結果將會稍後完成時生成.
格式化文字列印結果
您的文件已過期或不存在.
目前服務已停止, 您的檔案將會稍後的未知時間內進行掃瞄 (位置: ).

您可以繼續等待回應 (自動重新整理) 或者在下面的表單內輸入您的電子郵件地址, 並按下 "獲取", 當掃瞄完成時, 系統會自動給您發送電子郵件通知.
Email:

反病毒引擎版本最後更新掃瞄結果
AhnLab-V3 2007.10.2.0 2007.10.01 -
AntiVir 7.6.0.18 2007.10.01 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2007.10.02 -
Avast 4.7.1043.0 2007.10.01 -
AVG 7.5.0.488 2007.10.01 -
BitDefender 7.2 2007.10.02 -
CAT-QuickHeal 9.00 2007.10.01 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.10.02 -
DrWeb 4.33 2007.10.01 Trojan.Nsanti.Packed
eSafe 7.0.15.0 2007.10.01 suspicious Trojan/Worm
eTrust-Vet 31.2.5178 2007.10.01 Win32/NSAnti
Ewido 4.0 2007.10.01 -
FileAdvisor 1 2007.10.02 -
Fortinet 3.11.0.0 2007.10.02 -
F-Prot 4.3.2.48 2007.10.01 -
F-Secure 6.70.13030.0 2007.10.02 Packed.Win32.NSAnti.r
Ikarus T3.1.1.12 2007.10.02 MalwareScope.Worm.Viking.3
Kaspersky 7.0.0.125 2007.10.02 Packed.Win32.NSAnti.r
McAfee 5131 2007.10.01 -
Microsoft 1.2803 2007.10.02 -
NOD32v2 2564 2007.10.02 -
Norman 5.80.02 2007.10.01 -
Panda 9.0.0.4 2007.10.01 Suspicious file
Prevx1 V2 2007.10.02 Malware.Gen
Rising 19.43.00.00 2007.10.01 -
Sophos 4.22.0 2007.10.02 -
Sunbelt 2.2.907.0 2007.10.02 -
Symantec 10 2007.10.02 -
TheHacker 6.2.6.075 2007.10.01 -
VBA32 3.12.2.4 2007.10.01 MalwareScope.Worm.Viking.3
VirusBuster 4.3.26:9 2007.10.01 -
Webwasher-Gateway 6.0.1 2007.10.01 Trojan.Crypt.NSPM.Gen

**jeller** · 2007-10-03, 04:18 PM

這是作者:張書維先生開發的程式
提供給大家試試
最近這隻病毒很猖獗...
已經處理很多類似的案例了

**neko_chang** · 2007-10-09, 10:40 PM

Symantec Endpoint Potection11無法在下載的第一時間內發現._.ll
但是解壓的時候會跳出來說：有病毒._./

**noeleon930** · 2007-10-10, 12:01 AM

kavo跟某個系統檔案有關(即:ntdetect.com)，且檔名跟病毒名ntdelect.com容易混淆(只差一劃!)，假如刪錯的話，會被迫重新啟動電腦，而且跟惡劣的是，重新開機登入登到一半時會跳出一個視窗寫說"無法載入使用者設定檔"，然後就自動關機啦，真是惡劣!(我是學校資訊室小幫手，因為學校使用光纖網路，病毒散播非常快。為了殺這隻毒，連灌了好幾台的小紅傘)