標籤: 暫無標籤

LOGOGO,病毒名稱,這是一個感染型病毒。

  危險等級:★★★


  病毒名稱:Win32.Logogo.a


  類型:病毒


  感染的操作系統: Windows XP, Windows NT, Windows Server 2003, Windows 2000

1 LOGOGO -威脅情況

  傳播級別:高


  全球化傳播態勢:低


  清除難度:困難


  破壞力:高


  破壞手段:感染EXE文件


  這是一個感染型病毒


  病毒運行后,先通過GetCommandLine判斷是否有參數存在,如果沒有,病毒則默認以參數"_sys"利用CreateProcessA進行啟動.當病毒以"_sys"啟動后,會先自身複製到"%SYSTEMROOT%"\SYSTEM目錄中,並改名為logogo.exe.病毒會修改註冊表, 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項下建立一個 "logogo" = %WINDOWS%\SYSTEM\LOGOGOGO.EXE的子鍵達到自啟動的目的.病毒會使用SetTimer設置一個回調函數,該函數的作用就是每 1分鐘分別以"down","worm"做為參數,啟動病毒,進行感染和下載的操作.病毒還會創建一個線程,線程的作用包括往註冊表內寫RUN項,獲得當前機器名,MAC地址等,但作用未知,也許是作者留著以後備用的.病毒還會在修改註冊表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution里的所有子項里添加Debugger項,指向病毒本身.


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options0rpt.EXE\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options0safe.EXE\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options0tray.EXE\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmor.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvmonxp.kxp\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvsrvxp.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navapsvc.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kregex.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FrameworkService.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wuauclt.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vpc32.exe\


  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.exe\


  病毒會在上述鍵值內,加入 Debugger = "C:\winnt\system\logogo.exe 子鍵和鍵值.被修改後,如果運行上述程序,剛被直接指向到C:\winnt\system\logogo.exe這個病毒上面


  當病毒以worm參數進行啟動時,病毒的工作為感染全盤後綴為exe的文件,並在所有FIX_DISK盤符內寫入autorun.inf和病毒本身(病毒被改名來XP.exe).其中autorun.inf的內容為:


  [AutoRun]


  OPEN=XP.EXE


  ShellExecute=XP.EXE


  shell\打開(&O)\command=XP.EXE


  病毒在感染文件時,會遍歷該文件的節名,當發現節名中存在"ani"時,就會跳過該文件,繼續感染下一個.


  當病毒以down參數進行啟動時.病毒會先利用InternetGetConnectedState檢測網路狀態,再利用 InternetReadFile從網址http://x.XXXX.com/test.jpg下載病毒,並保存在C:\WINNT\system\ SYSTEM128.VXD位置上,並使用Winexec運行該病毒.


  半手工清除logogog造成的1_.ii病毒的方法


  CHN_HACKER原創


  1_.ii是一個威力中等的病毒,其發作特徵為:


  1.打開可執行文件exe后,發現多了一個1_.ii,這就是病毒的副本;


  2.裝了實時監控的殺毒軟體后,可能所有exe文件會打不開,同時提示:「windows無法打開此項目,您可能沒有合適的許可權訪問該項目。」這是因為打開exe可執行文件后,病毒會自動創建副本,被殺毒軟體截獲后,不允許用戶打開。


  這種病毒清除起來有些麻煩,如果用殺毒軟體是行不通的。如果用瑞星,會每殺到一個可執行文件都會提示有病毒,而且殺毒軟體本身也會染毒,並且無法清除。即使殺完一遍,也無濟於事。如果用卡巴斯基,會把染毒文件一起刪除,你的損失無法估量。該怎樣清除呢?下面我來一步步介紹。


  1.在開始——運行中輸入MSCONFIG,打開系統配置實用程序,在「一般」頁中選擇「診斷啟動」;選擇「啟動」頁,把相應的啟動項的勾去掉。這種病毒一般是由於惡意軟體logogo造成的,把相應的logogo前的勾去掉,重啟。


  2.在我的網盤http://chn-hacker.ys168.com/下載專殺工具,重啟。


  3.開機時按F8,進入安全模式。按ctrl+alt+del組合鍵,彈出任務管理器,在「進程」頁中找到logogo.exe和cmd.exe,結束進程。(如沒有logogo,可以不理會)


  4.在安全模式下運行專殺工具。這裡要注意,由於病毒本身有問題,導致部分exe可執行文件被感染后無法修復,只能重新安裝。


  5.殺毒結束后,請用360安全衛士等工具查殺木馬。可能360也會被感染,所以最好重裝殺毒軟體和已經損壞的程序。


  6.在開始——運行中輸入regsvr32 vbscript.dll修復受損的IE。

上一篇[人靈]    下一篇 [LogMeIn]

相關評論

同義詞:暫無同義詞