Stránka 1 z 1

Převlečený malware - CKVO.exe jak na něj ?

Napsal: 21 lis 2008, 10:17
od illhexapod
Poslední dobou se začal rozmáhat tento převlečený malware: CKVO.EXE. V práci jsem ho chytil také, ještě že jsem si s ním a veškerou havětí okolo dokázal poradit.

Váš počítač je nakažený. Tento soubor s názvem CKVO.EXE je považován za nebezpečný, a mohou existovat jiné infekce na vašem PC.

Ty by měly urychleně zkontrolovat svůj počítač a odstranit škodlivý software, včetně CKVO.EXE co nejdříve. Tato bezplatná verze Prevx CSI prohledá váš počítač na miliony spyware a malware infekcí v době kratší než 2 minuty. Zde máte odkaz na tento program.... hodně mi pomohl..... Prevx CSI.


Tady máte výpis co vše může být spojené s nákazou CKVO.exe:

A omluvte můj krkolomný překlad pokusím se to co nejdříve napravit !! :D :D

Soubor, Chování:

CKVO.EXE bylo vidět, že bude plnit tyto chování:

* Tento proces je balena a / nebo šifrované pomocí softwaru balení procesu
* Automaticky změny v nastavení firewallu, aby sama nebo jiné programy, které komunikují přes internet
* Výrobky dodává do systémového registru
* Změní Windows bezpečnostní politiky k omezení / expand Uživatel výsadách na stroji
* Píše na jiném procesu je virtuální paměť (Process únos)
* Tento proces smaže jiných procesů z disku
* Tento proces vytváří jiných procesů na disk
* Přidává klíče registru (Spustit) pro automatické spuštění programů pro systém nastartovat
* Lze komunikovat s jinými počítačovými systémy s využitím protokolů HTTP
* Realizuje proces
* Vkládá kód do dalších procesů
* Rejstříky Dynamic Link soubor knihovny
* Vytvoří novou službu, pozadí na stroji
* Vypíná nouzový režim na vašem PC
* DNS získat IP adresu pro webové stránky
* Navštivujete webové stránky na vašem PC, aniž byste o tom věděli.
* Kopíruje soubory
* Tento proces je polymorfní a mohou měnit jeho strukturu
* Realizuje jeden ovladač systému souborů

CKVO.EXE byla předmětem následující chování:

* Vytvořeno jako proces na disk
* Popraven jako proces
* Kód byl vložen do jeho virtuální paměti jinými programy
* Přidáno jako Registry auto start do programu na zatížení
* Zrušen jako proces z pevného disku
* Zkopírovány na různých místech v systému
* Tento program je často stažené z webu
* Proveden z dočasné složky
* Registrovaní jako dynamická knihovna obrázek
* Ukončeno, neboť proces
* Staženo z houští internetové stránky, aniž by uživatel věděl

Země původu:

Filename CKVO.EXE byl poprvé viděl na 9. května 2008 v těchto zeměpisných oblastech se Prevx komunity:

* The UNITED KINGDOM on May 9 2008 Spojeného království dne 9. květen 2008
* FRANCE on Jul 15 2008 Francie dne 15. červenec 2008
* The EUROPEAN UNION on Jul 15 2008 V Evropské unii dne 15. července 2008
* ECUADOR on Aug 5 2008 EKVÁDOR dne 5. srpna 2008
* SPAIN on Aug 5 2008 ŠPANĚLSKO dne 5. srpna 2008
* URUGUAY on Sep 27 2008 URUGUAY Září 27 2008

Název souboru aliasy:

CKVO.EXE můžete také použít následující názvy souborů:

* XQF.COM
* HELP.EXE
* DPTTQI~1.COM DPTTQI ~ 1.COM
* 95029408.SVD
* EGBJF.CMD
* DPTRNE~1.COM DPTRNE ~ 1.COM
* J.COM J. KOM
* 26184453.SVD
* DDR.EXE
* B0J6J16.BAT
* WJLFHTFM.CMD
* 29685413.BAT
* DC3.EXE
* 6.BAT
* 21949015.EXE
* K.COM K. KOM

Následující obrázek velikosti byl viděn:

* 147,456 bytes 147456 bytes
* 104,046 bytes 104046 bytes
* 101,369 bytes 101369 bytes
* 187,904 bytes 187904 bytes
* 118,757 bytes 118757 bytes
* 116,862 bytes 116862 bytes

Typ souboru:

Filename CKVO.EXE se vztahuje na mnoho verzí spustitelný program.

Soubor Aktivita:

Jeden nebo více souborů s názvem CKVO.EXE vytváří, ruší, kopie nebo přesune tyto soubory a složky:

* Creates c:\windows\system32\drivers\klif.sys Vytvoří c: \ windows \ system32 \ drivers \ klif.sys
* Deletes c:\windows\system32\drivers\klif.sys Odstraní c: \ windows \ system32 \ drivers \ klif.sys
* Deletes c:\windows\system32\ckvo.exe Odstraní c: \ windows \ system32 \ ckvo.exe
* Deletes c:\docume~1\user\locals~1\temp\1bb2d.exe Odstraní C: \ DOCUME ~ 1 \ uživatel \ LOCALS ~ 1 \ temp \ 1bb2d.exe
* Deletes c:\windows\system32\ckvo0.dll Odstraní c: \ windows \ system32 \ ckvo0.dll
* Creates c:\windows\system32\ckvo0.dll Vytvoří c: \ windows \ system32 \ ckvo0.dll
* Deletes c:\docume~1\user\locals~1\temp\1cdab.exe Odstraní C: \ DOCUME ~ 1 \ uživatel \ LOCALS ~ 1 \ temp \ 1cdab.exe
* Deletes c:\xqf.co Odstraní c: \ xqf.co
* Copies filec:\windows\system32\ckvo.exe to c:\xqf.co Kopie filec: \ windows \ system32 \ ckvo.exe do c: \ xqf.co
* Deletes c:\autorun.in Odstraní c: \ autorun.in
* Creates c:\autorun.in Vytvoří c: \ autorun.in
* Deletes d:\xqf.co Odstraní D: \ xqf.co
* Copies filec:\windows\system32\ckvo.exe to d:\xqf.co Kopie filec: \ windows \ system32 \ ckvo.exe na D: \ xqf.co
* Deletes d:\autorun.in Odstraní D: \ autorun.in
* Creates d:\autorun.in Vytvoří D: \ autorun.in
* Deletes c:\docume~1\user\locals~1\temp\help1.rar Odstraní C: \ DOCUME ~ 1 \ uživatel \ LOCALS ~ 1 \ temp \ help1.rar
* Deletes c:\docume~1\user\locals~1\temp\help.ex Odstraní C: \ DOCUME ~ 1 \ uživatel \ LOCALS ~ 1 \ temp \ help.ex
* Opens/modifes c:\autoexec.bat Otevře / modifes c: \ autoexec.bat
* Creates c:\docume~1\user\locals~1\temp\help1.rar Vytvoří C: \ DOCUME ~ 1 \ uživatel \ LOCALS ~ 1 \ temp \ help1.rar
* Deletes c:\docume~1\user\locals~1\temp\help.exe Odstraní C: \ DOCUME ~ 1 \ uživatel \ LOCALS ~ 1 \ temp \ help.exe
* Creates c:\docume~1\user\locals~1\temp\help.exe Vytvoří C: \ DOCUME ~ 1 \ uživatel \ LOCALS ~ 1 \ temp \ help.exe
* Copies filec:\docume~1\user\locals~1\temp\help.exe to c:\windows\system32\ckvo.exe Kopie filec: \ DOCUME ~ 1 \ uživatel \ LOCALS ~ 1 \ temp \ help.exe do c: \ windows \ system32 \ ckvo.exe
* Deletes c:\windows\system32\ckvo1.dll Odstraní c: \ windows \ system32 \ ckvo1.dll
* Creates c:\windows\system32\ckvo1.dll Vytvoří c: \ windows \ system32 \ ckvo1.dll

Registry Aktivita:

Jeden nebo více souborů s názvem CKVO.EXE vytváří nebo modifikuje následující klíče registru a hodnoty:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings GlobalUserOffline value: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings GlobalUserOffline hodnoty:
* HKEY_CURRENT_USER\Software\user914\1214104697 1919251317 [REG_DWORD, value: 0000001C] HKEY_CURRENT_USER \ Software \ user914 \ 1214104697 1919251317 [REG_DWORD, hodnota: 0000001C]
* HKEY_CURRENT_USER\Software\user914\1214104697 -456464662 value: HKEY_CURRENT_USER \ Software \ user914 \ 1214104697 -456464662 hodnoty:
* HKEY_CURRENT_USER\Software\user914\1214104697 1462786655 value: HKEY_CURRENT_USER \ Software \ user914 \ 1214104697 1462786655 hodnoty:
* HKEY_CURRENT_USER\Software\user914\1214104697 -912929324 [REG_DWORD, value: 00000028] HKEY_CURRENT_USER \ Software \ user914 \ 1214104697 -912929324 [REG_DWORD, hodnota: 00000028]
* HKEY_CURRENT_USER\Software\user914\1214104697 1006321993 [REG_DWORD, value: 0000009B] HKEY_CURRENT_USER \ Software \ user914 \ 1214104697 1006321993 [REG_DWORD, hodnota: 0000009B]
* HKEY_CURRENT_USER\Software\user914\1214104697 -1369393986 HKEY_CURRENT_USER \ Software \ user914 \ 1214104697 -1369393986
* HKEY_CURRENT_USER\Software\user914\1214104697 549857331 HKEY_CURRENT_USER \ Software \ user914 \ 1214104697 549857331
* HKEY_CURRENT_USER\Software\user914 u1_0 [REG_DWORD, value: CC96283A] HKEY_CURRENT_USER \ Software \ user914 u1_0 [REG_DWORD, hodnota: CC96283A]
* HKEY_CURRENT_USER\Software\user914 u2_0 [REG_DWORD, value: 0000158D] HKEY_CURRENT_USER \ Software \ user914 u2_0 [REG_DWORD, hodnota: 0000158D]
* HKEY_CURRENT_USER\Software\user914 u3_0 [REG_DWORD, value: 01036641] HKEY_CURRENT_USER \ Software \ user914 u3_0 [REG_DWORD, hodnota: 01036641]
* HKEY_CURRENT_USER\Software\user914 u4_0 value: HKEY_CURRENT_USER \ Software \ user914 u4_0 hodnoty:
* HKEY_CURRENT_USER\Software\user914 u1_1 [REG_DWORD, value: 3C434D1C] HKEY_CURRENT_USER \ Software \ user914 u1_1 [REG_DWORD, hodnota: 3C434D1C]
* HKEY_CURRENT_USER\Software\user914 u2_1 [REG_DWORD, value: 726566F8] HKEY_CURRENT_USER \ Software \ user914 u2_1 [REG_DWORD, hodnota: 726566F8]
* HKEY_CURRENT_USER\Software\user914 u3_1 [REG_DWORD, value: 73661534] HKEY_CURRENT_USER \ Software \ user914 u3_1 [REG_DWORD, hodnota: 73661534]
* HKEY_CURRENT_USER\Software\user914 u4_1 [REG_DWORD, value: 72657375] HKEY_CURRENT_USER \ Software \ user914 u4_1 [REG_DWORD, hodnota: 72657375]
* HKEY_CURRENT_USER\Software\user914 u1_2 [REG_DWORD, value: A07CA2CF] HKEY_CURRENT_USER \ Software \ user914 u1_2 [REG_DWORD, hodnota: A07CA2CF]
* HKEY_CURRENT_USER\Software\user914 u2_2 [REG_DWORD, value: E4CAF367] HKEY_CURRENT_USER \ Software \ user914 u2_2 [REG_DWORD, hodnota: E4CAF367]
* HKEY_CURRENT_USER\Software\user914 u3_2 [REG_DWORD, value: E5C980AB] HKEY_CURRENT_USER \ Software \ user914 u3_2 [REG_DWORD, hodnota: E5C980AB]
* HKEY_CURRENT_USER\Software\user914 u4_2 [REG_DWORD, value: E4CAE6EA] HKEY_CURRENT_USER \ Software \ user914 u4_2 [REG_DWORD, hodnota: E4CAE6EA]
* HKEY_CURRENT_USER\Software\user914 u1_3 [REG_DWORD, value: 40795A6F] HKEY_CURRENT_USER \ Software \ user914 u1_3 [REG_DWORD, hodnota: 40795A6F]
* HKEY_CURRENT_USER\Software\user914 u2_3 [REG_DWORD, value: 57304FD2] HKEY_CURRENT_USER \ Software \ user914 u2_3 [REG_DWORD, hodnota: 57304FD2]
* HKEY_CURRENT_USER\Software\user914 u3_3 [REG_DWORD, value: 56333C1E] HKEY_CURRENT_USER \ Software \ user914 u3_3 [REG_DWORD, hodnota: 56333C1E]
* HKEY_CURRENT_USER\Software\user914 u4_3 [REG_DWORD, value: 57305A5F] HKEY_CURRENT_USER \ Software \ user914 u4_3 [REG_DWORD, hodnota: 57305A5F]
* HKEY_CURRENT_USER\Software\user914 u1_4 [REG_DWORD, value: 2DE49F2D] HKEY_CURRENT_USER \ Software \ user914 u1_4 [REG_DWORD, hodnota: 2DE49F2D]
* HKEY_CURRENT_USER\Software\user914 u2_4 [REG_DWORD, value: C995D859] HKEY_CURRENT_USER \ Software \ user914 u2_4 [REG_DWORD, hodnota: C995D859]
* HKEY_CURRENT_USER\Software\user914 u3_4 [REG_DWORD, value: C896AB95] HKEY_CURRENT_USER \ Software \ user914 u3_4 [REG_DWORD, hodnota: C896AB95]
* HKEY_CURRENT_USER\Software\user914 u4_4 [REG_DWORD, value: C995CDD4] HKEY_CURRENT_USER \ Software \ user914 u4_4 [REG_DWORD, hodnota: C995CDD4]
* HKEY_CURRENT_USER\Software\user914 u1_5 [REG_DWORD, value: 05C27D81] HKEY_CURRENT_USER \ Software \ user914 u1_5 [REG_DWORD, hodnota: 05C27D81]
* HKEY_CURRENT_USER\Software\user914 u2_5 [REG_DWORD, value: 3BFB54C4] HKEY_CURRENT_USER \ Software \ user914 u2_5 [REG_DWORD, hodnota: 3BFB54C4]
* HKEY_CURRENT_USER\Software\user914 u3_5 [REG_DWORD, value: 3AF82708] HKEY_CURRENT_USER \ Software \ user914 u3_5 [REG_DWORD, hodnota: 3AF82708]
* HKEY_CURRENT_USER\Software\user914 u4_5 [REG_DWORD, value: 3BFB4149] HKEY_CURRENT_USER \ Software \ user914 u4_5 [REG_DWORD, hodnota: 3BFB4149]
* HKEY_CURRENT_USER\Software\user914 u1_6 [REG_DWORD, value: FAD02DE8] HKEY_CURRENT_USER \ Software \ user914 u1_6 [REG_DWORD, hodnota: FAD02DE8]
* HKEY_CURRENT_USER\Software\user914 u2_6 [REG_DWORD, value: AE60A133] HKEY_CURRENT_USER \ Software \ user914 u2_6 [REG_DWORD, hodnota: AE60A133]
* HKEY_CURRENT_USER\Software\user914 u3_6 [REG_DWORD, value: AF63D2FF] HKEY_CURRENT_USER \ Software \ user914 u3_6 [REG_DWORD, hodnota: AF63D2FF]
* HKEY_CURRENT_USER\Software\user914 u4_6 [REG_DWORD, value: AE60B4BE] HKEY_CURRENT_USER \ Software \ user914 u4_6 [REG_DWORD, hodnota: AE60B4BE]
* HKEY_CURRENT_USER\Software\user914 u1_7 [REG_DWORD, value: 5CD57A60] HKEY_CURRENT_USER \ Software \ user914 u1_7 [REG_DWORD, hodnota: 5CD57A60]
* HKEY_CURRENT_USER\Software\user914 u2_7 [REG_DWORD, value: 20C63DBE] HKEY_CURRENT_USER \ Software \ user914 u2_7 [REG_DWORD, hodnota: 20C63DBE]
* HKEY_CURRENT_USER\Software\user914 u3_7 [REG_DWORD, value: 21C54E72] HKEY_CURRENT_USER \ Software \ user914 u3_7 [REG_DWORD, hodnota: 21C54E72]
* HKEY_CURRENT_USER\Software\user914 u4_7 [REG_DWORD, value: 20C62833] HKEY_CURRENT_USER \ Software \ user914 u4_7 [REG_DWORD, hodnota: 20C62833]
* HKEY_CURRENT_USER\Software\user914 u1_8 [REG_DWORD, value: 6A4E9A0D] HKEY_CURRENT_USER \ Software \ user914 u1_8 [REG_DWORD, hodnota: 6A4E9A0D]
* HKEY_CURRENT_USER\Software\user914 u2_8 [REG_DWORD, value: 932B8E25] HKEY_CURRENT_USER \ Software \ user914 u2_8 [REG_DWORD, hodnota: 932B8E25]
* HKEY_CURRENT_USER\Software\user914 u3_8 [REG_DWORD, value: 9228FDE9] HKEY_CURRENT_USER \ Software \ user914 u3_8 [REG_DWORD, hodnota: 9228FDE9]
* HKEY_CURRENT_USER\Software\user914 u4_8 [REG_DWORD, value: 932B9BA8] HKEY_CURRENT_USER \ Software \ user914 u4_8 [REG_DWORD, hodnota: 932B9BA8]
* HKEY_CURRENT_USER\Software\user914 u1_9 [REG_DWORD, value: AE7D9A44] HKEY_CURRENT_USER \ Software \ user914 u1_9 [REG_DWORD, hodnota: AE7D9A44]
* HKEY_CURRENT_USER\Software\user914 u2_9 [REG_DWORD, value: 05911A90] HKEY_CURRENT_USER \ Software \ user914 u2_9 [REG_DWORD, hodnota: 05911A90]
* HKEY_CURRENT_USER\Software\user914 u3_9 [REG_DWORD, value: 0492695C] HKEY_CURRENT_USER \ Software \ user914 u3_9 [REG_DWORD, hodnota: 0492695C]
* HKEY_CURRENT_USER\Software\user914 u4_9 [REG_DWORD, value: 05910F1D] HKEY_CURRENT_USER \ Software \ user914 u4_9 [REG_DWORD, hodnota: 05910F1D]
* HKEY_CURRENT_USER\Software\user914 u1_10 [REG_DWORD, value: C7CCC62F] HKEY_CURRENT_USER \ Software \ user914 u1_10 [REG_DWORD, hodnota: C7CCC62F]
* HKEY_CURRENT_USER\Software\user914 u2_10 [REG_DWORD, value: 77F69DFA] HKEY_CURRENT_USER \ Software \ user914 u2_10 [REG_DWORD, hodnota: 77F69DFA]

Activity Sítě:

Jeden nebo více souborů s názvem CKVO.EXE provádí po síti akcí:

* DNS Lookup pzrk.ru Vyhledávání v systému DNS pzrk.ru
* DNS Lookup zprk.ru Vyhledávání v systému DNS zprk.ru
* DNS Lookup przk.ru Vyhledávání v systému DNS przk.ru
* DNS Lookup pzkr.ru Vyhledávání v systému DNS pzkr.ru
* DNS Lookup pzr.kru Vyhledávání v systému DNS pzr.kru

Webové stránky o činnosti:

Jeden nebo více souborů s názvem CKVO.EXE interaguje s těmito weby a stránky. Webové adresy byly záměrně upraven tak, aby se předešlo neúmyslným použitím.

* pzrk . pzrk.
* bpowqbvcfds677 .info / ?1bb3c=113468&id=1134372971 bpowqbvcfds677. info /? 1bb3c = 113468 & id = 1134372971
* 1c752 .bpowqbvcfds677 .info / ?1c752=116562&id=1134372971 1c752. Bpowqbvcfds677. Info /? 1c752 = 116562 & id = 1134372971
* aapowqbvcfds677 .info / ?1cdab=118187&id=1134372971 aapowqbvcfds677. info /? 1cdab = 118187 & id = 1134372971
* abpowqbvcfds677 .info / ?1ce67=118375&id=1134372971 abpowqbvcfds677. info /? 1ce67 = 118375 & id = 1134372971
* acpowqbvcfds677 .info / ?1d2cc=119500&id=1134372971 acpowqbvcfds677. info /? 1d2cc = 119500 & id = 1134372971
* Port 80 IP:89.149.227.194 Port 80 IP: 89.149.227.194
* TCP:127.0.0.1:1095 Port:17 TCP: 127.0.0.1:1095 Port: 17
* Port 80 IP:60.169.1.92 Port 80 IP: 60.169.1.92
* TCP:127.0.0.1:1097 Port:17 TCP: 127.0.0.1:1097 Port: 17