Les autres variantes du virus kavo.exe

• Cryp_Yayay [Trend Micro]
  
• Generic.dx [McAfee]
  
• Infostealer.Gampass [Symantec]
  
• New Malware.hw [McAfee]
  
• PWS-Gamania [McAfee]
  
• PWS-LegMir.gen.k [McAfee]
  
• PWS-Mmorpg.gen [McAfee]
  
• PWS-OnlineGames.a [McAfee]
  
• TROJ_LINEAGE.KB [Trend Micro]
  
• TROJ_NSANTI.MY [Trend Micro]
  
• TROJ_POLYCRYP.AJ [Trend Micro]
  
• Trojan Horse [Symantec]
  
• Trojan.Lineage.Gen!Pac.3 [PCTools]
  
• Trojan.PWS.OnLineGames.BDG [PCTools]
  
• Trojan-PSW.Win32.OnLineGames.aes [Kaspersky Lab]
  
• TSPY_ONLINEG.HOQ [Trend Micro]
  
• TSPY_ONLINEG.HOW [Trend Micro]
  
• TSPY_ONLINEG.HQO [Trend Micro]
  
• TSPY_ONLINEG.OXO [Trend Micro]
  
• TSPY_ONLINEG.SMB [Trend Micro]
  
• TSPY_ONLINEG.ULD [Trend Micro]
  
• TSPY_ONLINEG.UNT [Trend Micro]
  
• TSPY_ONLINEGA.DF [Trend Micro]
  
• TSPY_ONLINEGA.DZ [Trend Micro]
  
• WORM_AUTORUN.ANE [Trend Micro]
  
• WORM_ONLINEG.BKE [Trend Micro]
  
• WORM_ONLINEG.CX [Trend Micro]
  
• WORM_ONLINEG.GK [Trend Micro]

Et la liste n'est pas finie.

Le virus Kavo.exe se propage par partition y compris les disques amovibles, le virus copie périodiquement deux fichiers "autorun.inf" et un autre fichier, si vous les supprimez sur une partition, ces deux fichiers se remettent dans la partition quelques secondes après la suppression.

Les variantes de kavo.exe sont traités ici. Nous n'allons pas détailler chaque particularité de chaque virus, nous allons juste les voir en totalité.

Ce fix supprime tous les variantes de kavo même ceux qui ne sont pas listés ici.

Le virus met trois fichiers dans le répertoire système :

• <System>\kavo.exe
• <System>\kavo0.dll
• <System>\kavo1.dll

Met aussi au moins un fichier .dll dans le dossier temporaire, les autres sont créés aléatoirement:

• g4.dll
• avxah8.dll
• y.dll
• ig4au94g.dll
• iilov9vn.dll
• ad.dll
• 7z.dll
• or.dll
• kykvfp.dll
• 88b4ibhq.dll
• ee2m.dll
• ecoimwht.dll
• o8n4e8g9.dll
• 48d.dll
• ufe7kt.dll
• xx.dll

Et met des fichiers dans toutes les racines des partitions de votre système :

• Autorun.inf
• o.exe
• nxvhpc.exe
• ff1q0gw.bat
• i8.com
• e6ieg.exe
• 6qe.com
• cfv90h.com
• ab.cmd
• k2.cmd
• h2.com
• u.exe
• fufb6tq3.cmd
• ekf6dbg0.com
• h2.com
• rtnlpipu.com
• 1i.com
• c18vk.exe
• ntphyy.com

Le fichier autorun.inf est toujours présent dans la racine de toutes les partitions y compris les disques amovibles comme les disques externes ou les flashs disques, un des autres fichiers l'accompagne.

Crée les entrées de registre :

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  kava = <System>\kavo.exe
  In this way, kavo.exe file is launched each time the system is booted
• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
  CheckedValue = 0x00000000
  Désactive l'affichage des fichiers cachés et les fichiers systèmes

Ce virus se lance automatiquement à chaque fois que vous ouvrez ou explorez une partition, il est donc préférable de télécharger ce patch et de le décompresser sur le bureau, de redémarrer votre machine en mode sans échec et de lancer le patch, toujours en mode sans échec.

Ce virus tente aussi de se connecter à l'adresse http://www.1a123.com/hp/zz.rar

Ce qui entraîne le téléchargement du fichier zz.rar.

Tutoriel mode sans échec.