kav - kav.exe - 进程信息

进程文件： kav 或者 kav.exe

进程名称： Kaspersky Anti-Virus Personal Component

进程名称： kav.exe是卡巴斯基Kaspersky Anti-Virus反病毒软件的一部分。

出品者： Kaspersky

属于： Kaspersky Anti-Virus Personal

系统进程： 否

后台程序： 否

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

广告软件： 否

病毒： 否

木马: 否

注：卡巴对电脑硬件要求很高，建议高配置用户使用。

kav.exe病毒

kav.exe病毒名称：

下载者

kav.exe病毒症状

该样本是使用“VC++”编写的“下载者”，长度为“22,528”字节，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是下载病毒木马。当用户计算机感染此木马病毒后， 用户中毒后会出系统运行缓慢无故报错，网络访问异常，并且发现未知进程等现象。

kav.exe病毒感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

kav.exe病毒传播途径：

文件捆绑、网页挂马、下载器下载

kav.exe病毒病毒分析：

1.病毒建立互斥体变量名：“ACDTEST……”，主要防止程序多次运行。

2.病毒获得系统目录路径，将"C:\\WINDOWS\\System32\\userinit.exe"与病毒自身比较，是否注入其中进程，如果注入成功，通过外部命令执行"C:\\WINDOWS\\explorer.exe" 打开应用程序。

3.如果注入不成功，将病毒文件提升到"SeDebugPrivilege"的访问权限，并建立及修改注册表的信息：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

名称：Kav

数据：C:\\WINDOWS\\System32\\kav.exe

以到达自启动的目的。

4.病毒建立线程，从指定网站下载hosts文件替换掉本地用户hosts文件并且将hosts文件修改为系统隐藏属性，屏蔽以下安全软件，

并且将操作系统版本，网卡地址，主机名等发到黑客指定的网站。

5，病毒获得临时文件路径，在该目录下创建%Temp%\\ope1.tmp, 从指定网址下载大量病毒木马到临时文件运行，然后自删除。

kav.exe病毒创建文件：

%SystemRoot%\\system32\\drivers\\etc\\hosts

%Temp%\\ope1.tmp

kav.exe病毒创建注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

名称：Kav

数据：C:\\WINDOWS\\System32\\kav.exe

kav.exe病毒访问网络：

http://360cnfuck.*****.info:9550/10825host/1002.txt

http://www.*****.info:3352/count.aspx

http://360cnfuck.*****.info:9550/id/ud.txt

kav.exe病毒手动解决办法：

手动删除文件

1.删除 %Temp%\\ope1.tmp

2.删除 病毒源程序

3.导入正确的hosts文件

手动删除注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

名称：Kav

数据：C:\\WINDOWS\\System32\\kav.exe

变量声明：

%SystemDriver%　系统所在分区，通常为“C:\\”

%SystemRoot%　WINDODWS所在目录，通常为“C:\\Windows”

%Documents and Settings%　用户文档目录，通常为“C:\\Documents and Settings”

%Temp%　临时文件夹，通常为“C:\\Documents and Settings\\当前用户名称\\Local Settings\\Temp”

%ProgramFiles%　系统程序默认安装目录，通常为：“C:\\ProgramFiles”