这是之前logogo.exe病毒的最新变种,此次变种可谓是该系列病毒的一个标志性的变种,如同原先的crsss化身成为“禽兽”病毒一样...
技术细节: File: logogogo.exe Size: 17196 bytes Modified: 2007年11月17日, 10:06:48 MD5: CBD42479BD49AEB0E839B3D4F116516B SHA1: F1DC3254693CC11C70BCDCB2EC124BD82E550AC5 CRC32: 9510B8CC 加壳方式:Upack 0.3.9 AV命名:Win32.Logogo.a(瑞星)
1.病毒有两个参数启动自身 -down 和-worm分别执行的是下载和感染操作
2.衍生如下副本: %systemroot%\system\logogogo.exe 在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的
3.创建注册表启动项目 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <%systemroot%\system\logogogo.exe> [] 达到开机启动的目的 在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。
4.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身。 360rpt.exe 360Safe.exe 360tray.exe ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLEANER.EXE CLEANER3.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE EGHOST.EXE ESAFE.EXE EXPWATCH.EXE F-AGNT95.EXE F-PROT.EXE F-PROT95.EXE F-STOPW.EXE FESCUE.EXE FINDVIRU.EXE FP-WIN.EXE FPROT.EXE FRW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.EXE Iparmor.exe JEDI.EXE KAV32.exe KAVPFW.EXE KAVsvc.exe KAVSvcUI.exe KVFW.EXE KVMonXP.exe KVMonXP.kxp KVSrvXP.exe KVwsc.exe KvXP.kxp KWatchUI.EXE LOCKDOWN2000.EXE Logo1_.exe Logo_1.exe LOOKOUT.EXE LUALL.EXE MAILMON.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCANW.EXE Navapsvc.exe Navapw32.exe NAVLU32.EXE NAVNT.EXE navw32.EXE NAVWNT.EXE NISUM.EXE NMain.exe NORMIST.EXE NUPGRADE.EXE NVC95.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCCWIN98.EXE PCFWALLICON.EXE PERSFW.EXE PFW.EXE Rav.exe RAV7.EXE RAV7WIN.EXE RAVmon.exe RAVmonD.exe RAVtimer.exe Rising.exe SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE THGUARD.EXE TrojanHunter.exe VET95.EXE VETTRAY.EXE VSCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSTAT.EXE WEBSCANX.EXE WFINDV32.EXE ZONEALARM.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE 修复工具.exe
5.感染除如下文件夹内的*.exe文件 windows winnt recycler system volume information
并不感染如下exe文件 XP.EXE CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe zhengtu.exe nettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe Repair.exe BackgroundDownloader.exe o2_unins_web.exe O2Jam.exe O2JamPatchClient.exe O2ManiaDriverSelect.exe OTwo.exe sTwo.exe GAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe Lobby_Setup.exe CoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe ra2.exe ra3.exe ra4.exe ra21006ch.exe dzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe KartRider.exe NMService.exe AdBalloonExt.exe ztconfig.exe patchupdate.exe
被感染文件尾部被加入一个名为.ani的节。被感染文件运行后会释放一个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exe
6.连接网络下载木马 读取http://dow.*.us/xxx.txt的下载列表 然后下载 http://dow.*.com/1.exe~http://dow.*.com/20.exe到%systemroot%\system下面 并以SYSTEM128.tmp作为下载文件过程中的临时文件
7.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息
8.病毒体内留有作者留下的广告信息(本文略)
病毒木马植入完毕后的sreng日志如下:
启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <%systemroot%\system\logogogo.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><%systemroot%\system32\rsmyhpm.dll> [] <{A2AC7E3B-30BE-466f-8BAB-1FF9DADD8C7D}><%systemroot%\system32\KVBatch01.dll> [] <{5A321487-4977-D98A-C8D5-6488257545A5}><%systemroot%\system32\kapjezy.dll> [] <{5A1247C1-53DA-FF43-ABD3-345F323A48D5}><%systemroot%\system32\avwgemn.dll> [] <{6859245F-345D-BC13-AC4F-145D47DA34F6}><%systemroot%\system32\avzxfmn.dll> [] <{4960356A-458E-DE24-BD50-268F589A56A4}><%systemroot%\system32\avwldmn.dll> [] <{5598FF45-DA60-F48A-BC43-10AC47853D55}><%systemroot%\system32\rarjepi.dll> [] <{A6650011-3344-6688-4899-345FABCD156A}><%systemroot%\system32\ratbjpi.dll> [] <{38907901-1416-3389-9981-372178569983}><%systemroot%\system32\kawdczy.dll> [] <{9D561258-45F3-A451-F908-A258458226D9}><%systemroot%\system32\kvdxsima.dll> [] <{44783410-4F90-34A0-7820-3230ACD05F44}><%systemroot%\system32\raqjdpi.dll> [] <{97D81718-1314-5200-2597-587901018079}><%systemroot%\system32\kaqhizy.dll> [] <{38847374-8323-FADC-B443-4732ABCD3783}><%systemroot%\system32\sidjczy.dll> [] <{8D47B341-43DF-4563-753F-345FFA3157D8}><%systemroot%\system32\kvmxhma.dll> [] <{24909874-8982-F344-A322-7898787FA742}><%systemroot%\system32\swjqbzc.dll> [] <{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}><%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe] <%systemroot%\system\logogogo.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] <%systemroot%\system\logogogo.exe> []...
================================== 正在运行的进程 [PID: 1724][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [%systemroot%\system32\rsmyhpm.dll] [N/A, ] [%systemroot%\system32\KVBatch01.dll] [N/A, ] [%systemroot%\system32\kapjezy.dll] [N/A, ] [%systemroot%\system32\avwgemn.dll] [N/A, ] [%systemroot%\system32\avzxfmn.dll] [N/A, ] [%systemroot%\system32\avwldmn.dll] [N/A, ] [%systemroot%\system32\rarjepi.dll] [N/A, ] [%systemroot%\system32\ratbjpi.dll] [N/A, ] [%systemroot%\system32\kawdczy.dll] [N/A, ] [%systemroot%\system32\kvdxsima.dll] [N/A, ] [%systemroot%\system32\raqjdpi.dll] [N/A, ] [%systemroot%\system32\kaqhizy.dll] [N/A, ] [%systemroot%\system32\sidjczy.dll] [N/A, ] [%systemroot%\system32\kvmxhma.dll] [N/A, ] [%systemroot%\system32\swjqbzc.dll] [N/A, ] [%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ] ================================== Winsock 提供者 MSAPI Tcpip [TCP/IP] %systemroot%\system32\qdshm.dll(, N/A) MSAPI Tcpip [UDP/IP] %systemroot%\system32\qdshm.dll(, N/A) ================================== Autorun.inf [C:\] [AutoRun] OPEN=XP.EXE shellexecute=XP.EXE shell\打开(&O)\command=XP.EXE [D:\] [AutoRun] OPEN=XP.EXE shellexecute=XP.EXE shell\打开(&O)\command=XP.EXE...
解决办法: 下载sreng和delbox,下载地址http://down.45it.com
首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 分别解压Xdelbox和sreng (注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)
1.打开sreng 启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <%systemroot%\system\logogogo.exe> []
并删除所有红色的IFEO项目
修复-系统修复-重置winsock
2.解压Xdelbox所有文件到一个文件夹 在 添加旁边的框中 分别输入 %systemroot%\system32\rsmyhpm.dll %systemroot%\system32\KVBatch01.dll %systemroot%\system32\kapjezy.dll %systemroot%\system32\avwgemn.dll %systemroot%\system32\avzxfmn.dll %systemroot%\system32\avwldmn.dll %systemroot%\system32\rarjepi.dll %systemroot%\system32\ratbjpi.dll %systemroot%\system32\kawdczy.dll %systemroot%\system32\kvdxsima.dll %systemroot%\system32\raqjdpi.dll %systemroot%\system32\kaqhizy.dll %systemroot%\system32\sidjczy.dll %systemroot%\system32\kvmxhma.dll %systemroot%\system32\swjqbzc.dll %Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys 输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中 然后一次性选中 (按住ctrl)下面大框中所有的文件 右键 单击 点击 重启立即删除
3.重启计算机后 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击打开系统所在盘 删除%systemroot%\system\logogogo.exe %systemroot%\system32\qdshm.dll
在左边的资源管理器中单击打开每个盘 删除各个盘根目录下的XP.exe和autorun.inf
4.打开sreng 启动项目 注册表 双击AppInit_DLLs把其键值清空
5.使用杀毒软件全盘杀毒修复被感染的exe文件(如果杀毒软件也被感染,请重装杀毒软件以免造成反复感染)
|