此病毒属于德夫(Worm.Delf)下载器的一个变种，之前有分析过他的另一个变种

　　具体分析：

　　生成如下文件：
　　C:\WINDOWS\system\logogo.exe
　　在每个分区下面生成setup.exe和autorun.inf

　　遍历非系统分区下面的*.exe文件 把文件名写入%systemroot%\win.log中
　　然后根据里面的记录感染exe文件 同时跳过感染如下名称的文件

CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe zhengtu.exe nettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe Repair.exe BackgroundDownloader.exe o2_unins_web.exe O2Jam.exe O2JamPatchClient.exe O2ManiaDriverSelect.exe OTwo.exe sTwo.exe GAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe Lobby_Setup.exe CoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe ra2.exe ra3.exe ra4.exe ra21006ch.exe dzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe KartRider.exe NMService.exe AdBalloonExt.exe ztconfig.exe patchupdate.exe

　　被感染的文件被加入27034字节的内容 图表不变

　　被感染的文件运行后释放1_.ii文件 此文件即病毒体 运行病毒体后 删除0_.ii自身

　　注册表变化：
　　在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加名为logogo的启动项，指向C:\WINDOWS\system\logogo.exe
　　在HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\下面添加NoAutoUpdate子键 并把其键值设置为0x00000001
　　禁止了微软的自动更新

　　病毒体内有字样：我恨卡巴

　　连接网络下载以下木马
http://qb.*.com/8888.exe
http://qb.*.com/9999.exe
http://qb.*.com/2222.exe
http://qb.*.com/10000.exe
http://qb.*.com/3333.exe
http://qb.*.com/4444.exe
http://qb.*.com/11000.exe
http://qb.*.com/5555.exe
http://qb.*.com/6666.exe
http://qb.*.com/7777.exe
http://qb.*.com/12000.exe
http://qb.*.com/13000.exe
http://qb.*.com/14000.exe
http://qb.*.com/15000.exe
http://qb.*.com/16000.exe
http://qb.*.com/17000.exe
http://qb.*.com/18000.exe
http://qb.*.com/19000.exe
http://qb.*.com/20000.exe
http://qb.*.com/21.exe
　　等到C:\WINDOWS\system文件夹下

　　木马运行完毕后
　　植入了如下文件
C:\Program Files\NetMeeting\ravmsmon.dat
C:\Program Files\NetMeeting\ravmsmon.exe
C:\WINDOWS\system32\*ins.exe（*代表随机3位字母）
C:\WINDOWS\system32\*pri.dll（*代表随机3位字母）
C:\WINDOWS\system32\*ini.dll（*代表随机3位字母）
C:\WINDOWS\system32\kvmxacf.dll
C:\WINDOWS\system32\kvmxbis.exe
C:\WINDOWS\system32\kvmxbma.dll
C:\WINDOWS\system32\mxbcfg.dll
C:\WINDOWS\system32\*man.dll（*代表随机3位字母）
C:\WINDOWS\system32\ntaskldr.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\WinForm.exe
...

　　sreng日志表现如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <logogo><C:\WINDOWS\system\logogo.exe>     []
       <WinForm><C:\WINDOWS\WinForm.exe>     []
       <ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <AppInit_DLLs><jhbpri.dll>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll>     []
       <{352D2432-37A2-324F-2A54-21BF5CF2F1A3}><C:\WINDOWS\system32\jhbpri.dll>     []
       <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll>     []

　　手动清除办法：
　　一、清除病毒主程序
　　1.安全模式下(开机后不断 按F8键     然后出来一个高级菜单 选择第一项 安全模式 进入系统)

　　打开sreng(建议到down.45its.com下载)
　　启动项目     注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <logogo><C:\WINDOWS\system\logogo.exe>     []

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定,右键点击C盘（系统盘） 点击右键菜单中的第二个“打开” 打开磁盘

　　删除C:\WINDOWS\system\logogo.exe，以及该文件夹下的2222.exe~9999.exe 10000.exe~20000.exe。删除系统盘根目录下的setup.exe autorun.inf。

　　右键右键点击其他盘 点击右键菜单中的第二个“打开” 打开磁盘，删除其他盘根目录下面的 setup.exe autorun.inf。

　　2.清除其下载的木马和病毒
　　参考之前的分析www.45its.com/Article/pcedu/Safety/200708/17699.htm即可

　　3.修复受感染的exe文件
　　使用杀毒软件全盘杀毒，修复受感染的exe文件