LOGOGO
病毒信息
传播级别:高
全球化传播态势:低
破坏手段:感染EXE档案
病毒介绍
病毒运行后,先通过GetCommandLine判断是否有参数存在,如果没有,病毒则默认以参数"_sys"利用CreateProcessA进行启动.当病毒以"_sys"启动后,会先自身複製到"%SYSTEMROOT%"\SYSTEM目录中,并改名为logogo.exe.病毒会修改注册表, 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项下建立一个 "logogo" = %WINDOWS%\SYSTEM\LOGOGOGO.EXE的子键达到自启动的目的.病毒会使用SetTimer设定一个回调函式,该函式的作用就是每 1分钟分别以"down","worm"做为参数,启动病毒,进行感染和下载的操作.病毒还会创建一个执行绪,执行绪的作用包括往注册表内写RUN项,获得当前机器名,MAC地址等,但作用未知,也许是作者留着以后备用的.病毒还会在修改注册表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution里的所有子项里添加Debugger项,指向病毒本身.
Options0rpt.EXE\
Options0safe.EXE\
Options0tray.EXE\
Options\AVP.EXE\
Options\CCenter.EXE\
Options\IceSword.EXE\
Options\Iparmor.EXE\
Options\KVMonxp.kxp\
Options\KVSrvXP.EXE\
Options\KVWSC.EXE\
Options\Nod32kui.EXE\
Options\Mmsk.EXE\
Options\Wuauclt.EXE\
Options\Ast.EXE\
Options\WOPTILITIES.EXE
Options\Regedit.EXE\
Options\AutoRunKiller.exe\
Options\VPC32.exe\
Options\VPTRAY.exe\
病毒会在上述键值内,加入 Debugger = "C:\winnt\system\logogo.exe 子键和键值.被修改后,如果运行上述程式,刚被直接指向到C:\winnt\system\logogo.exe这个病毒上面
当病毒以worm参数进行启动时,病毒的工作为感染全盘后缀为exe的档案,并在所有FIX_DISK盘符内写入autorun.inf和病毒本身(病毒被改名来XP.exe).其中autorun.inf的内容为:
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE
当病毒以down参数进行启动时.病毒会先利用InternetGetConnectedState检测网路状态,再利用 InternetReadFile从网址http://x.XXXX.com/test.webp下载病毒,并保存在C:\WINNT\system\ SYSTEM128.VXD位置上,并使用Winexec运行该病毒.
清除方式
CHN_HACKER原创
1.打开执行档exe后,发现多了一个1_.ii,这就是病毒的副本;
2.装了实时监控的防毒软体后,可能所有exe档案会打不开,同时提示:“windows无法打开此项目,您可能没有合适的许可权访问该项目。”这是因为打开exe执行档后,病毒会自动创建副本,被防毒软体截获后,不允许用户打开。
这种病毒清除起来有些麻烦,如果用防毒软体是行不通的。如果用瑞星,会每杀到一个执行档都会提示有病毒,而且防毒软体本身也会染毒,并且无法清除。即使杀完一遍,也无济于事。如果用卡巴斯基,会把染毒档案一起删除,你的损失无法估量。该怎样清除呢?下面我来一步步介绍。
1.在开始——运行中输入MSCONFIG,打开系统配置实用程式,在“一般”页中选择“诊断启动”;选择“启动”页,把相应的启动项的勾去掉。这种病毒一般是由于恶意软体logogo造成的,把相应的logogo前的勾去掉,重启。
6.在开始——运行中输入regsvr32 vbscript.dll修复受损的IE。
本文由'曹寻菡'发布,不代表演示站立场,转载/删除联系作者,如需删除请-> 关于侵权处理说明。