Hoạt động:
Tạo các file:
* %sysdir%\passwd.log ( lưu các passwords lấy được)
* %sysdir%\wincab.sys ( rootkit )
* %sysdir%\kavo.exe ( bản sao của virus )
* %sysdir%\kavo0.dll ( thư viện hook password )
* %sysdir%\tf.dll ( thư viện hook password )
* %sysdir%\[random_name].dll ( thư viện hook password )
xóa file nguồn khi chạy file %sysdir%\kavo.exe
tạo các file: autorun.inf,NTDELCT.COM trên tất cả các phân vùng ổ cứng, kể cả USB nếu có, mỗi khi double-click lên các phân vùng, hệ thống dựa vào file autorun.inf để chạy file NTDELCT.COM, do vậy nội dung file autorun.inf sẽ có dòng:
[autorun]
open=NTDELCT.COM
(có thể có biến thể khác).
khi NTDELCT.COM được kích hoạt, nó sẽ kiểm tra sự tồn tại của process kavo.exe, nếu chưa chạy nó sẽ kiểm tra tiếp sự tồn tại của file %sysdir%\kavo.exe. Nếu ko tồn tại file này,NTDELCT.COM sẽ tạo ra file kavo.exe và chạy nó.
khi file kavo.exe chạy:
liên tục chỉnh sửa key:HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer--Advance--Folder--Hidden-SHOWALL về giá trị 0.
liên tục tạo các file trên ở mọi phân vùng - (việc tạo qua lại giữa các file đảm bảo cho virus tồn tại).
Cách khắc phục:
Tắt kavo.exe:chạy CMD, gõ taskkill /f /im kavo.exe
Đặt lại key: HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer--Advance--Folder--Hidden-SHOWALL giá trị thành 1.
Xóa key tự chạy của kavo.exe trong khóa --SW--MICRO--WINDOWS-Currentversion--RUN
mở Explorer(xuất hiện Explorer bar), hiển thị các file ẩn, file hệ thống bằng thiết đặt trong Tools-Folder Option., nếu ko thấy Folder Option thì đặt lại bằng cách:
vào run, gõ gpedit.msc
tìm đến khóa: User Configuration/Administrative Templates/Windows Components/Windows Explorer/Removes the Folder Options menu item from the Tools menu. đặt giá trị thành Enable, Apply, đặt lại thành Not Configured.
Chỉ thực hiện thao tác truy xuất ổ bằng Explorer bar, không double-click vào bất cứ phân vùng nào, tránh tình trạng tái khởi động virus,
đọc file autorun.inf nếu có, tìm file có tên trong dòng "open=" ở từng phân vùng, xóa file đó và file autorun.inf.
Xóa các file được liệt kê ở phần trên cùng bài này, kiểm tra và làm sạch thư mục Temp và Temp Internet Files trong Documents and Settings/User Name/Local Settings/.
Note: Tốt nhất nên thay đổi thói quen double-click trực tiếp lên các phân vùng, nên sử dụng Explorer Bar để truy xuất vào các phân vùng ổ cứng.
Bookmarks