作者:清新陽光 ( [url]http://hi.baidu.com/newcenturysun[/url])
日期:2007/11/17 (轉載請保留此聲明)
這是之前logogo.exe病毒的最新變種,此次變種可謂是該系列病毒的一個標誌性的變種,如同原先的crsss化身成爲“禽獸”病毒一樣...
技術細節:
File: logogogo.exe
Size: 17196 bytes
Modified: 2007年11月17日, 10:06:48
MD5: CBD42479BD49AEB0E839B3D4F116516B
SHA1: F1DC3254693CC11C70BCDCB2EC124BD82E550AC5
CRC32: 9510B8CC
加殼方式:Upack 0.3.9
AV命名:Win32.Logogo.a(瑞星)
1.病毒有兩個參數啓動自身
-down 和-worm分別執行的是下載和感染操作
2.衍生如下副本:
%systemroot%\system\logogogo.exe
在每個磁盤分區根目錄下釋放XP.exe和autorun.inf達到通過移動存儲傳播的目的
3.創建註冊表啓動項目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<logogogo><%systemroot%\system\logogogo.exe> []
達到開機啓動的目的
在HKLM\SOFTWARE下面創建logogo子鍵,用以記錄病毒安裝成功的信息。
4.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面創建映像劫持項目,指向病毒本身。
360rpt.exe
360Safe.exe
360tray.exe
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EGHOST.EXE
ESAFE.EXE
EXPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FESCUE.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
Iparmor.exe
JEDI.EXE
KAV32.exe
KAVPFW.EXE
KAVsvc.exe
KAVSvcUI.exe
KVFW.EXE
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
KVwsc.exe
KvXP.kxp
KWatchUI.EXE
LOCKDOWN2000.EXE
Logo1_.exe
Logo_1.exe
LOOKOUT.EXE
LUALL.EXE
MAILMON.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
Navapsvc.exe
Navapw32.exe
NAVLU32.EXE
NAVNT.EXE
navw32.EXE
NAVWNT.EXE
NISUM.EXE
NMain.exe
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
PFW.EXE
Rav.exe
RAV7.EXE
RAV7WIN.EXE
RAVmon.exe
RAVmonD.exe
RAVtimer.exe
Rising.exe
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
THGUARD.EXE
TrojanHunter.exe
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
修復工具.exe
5.感染除如下文件夾內的*.exe文件
windows
winnt
recycler
system volume information
並不感染如下exe文件
XP.EXE
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe
zhengtu.exe
nettools.exe
laizi.exe
proxy.exe
Launcher.exe
WoW.exe
Repair.exe
BackgroundDownloader.exe
o2_unins_web.exe
O2Jam.exe
O2JamPatchClient.exe
O2ManiaDriverSelect.exe
OTwo.exe
sTwo.exe
GAME2.EXE
GAME3.EXE
Game4.exe
game.exe
hypwise.exe
Roadrash.exe
O2Mania.exe
Lobby_Setup.exe
CoralQQ.exe
QQ.exe
QQexternal.exe
BugReport.exe
tm.exe
ra2.exe
ra3.exe
ra4.exe
ra21006ch.exe
dzh.exe
Findbug.EXE
fb3.exe
Meteor.exe
mir.exe
KartRider.exe
NMService.exe
AdBalloonExt.exe
ztconfig.exe
patchupdate.exe
被感染文件尾部被加入一個名爲.ani的節。被感染文件運行後會釋放一個名爲ani.ani的臨時文件並運行,該文件即爲病毒主體logogogo.exe
6.連接網絡下載***
讀取[url]http://dow.[/url]*.us/xxx.txt的下載列表
然後下載
[url]http://dow.[/url]*.com/1.exe~[url]http://dow.[/url]*.com/20.exe到%systemroot%\system下面
並以SYSTEM128.tmp作爲下載文件過程中的臨時文件
7.病毒同時會獲得當前機器名,操作系統版本,MAC地址等信息
8.病毒體內留有作者留下的廣告信息:“出售下載者 QQ 2892*”
![]()
日期:2007/11/17 (轉載請保留此聲明)
這是之前logogo.exe病毒的最新變種,此次變種可謂是該系列病毒的一個標誌性的變種,如同原先的crsss化身成爲“禽獸”病毒一樣...
技術細節:
File: logogogo.exe
Size: 17196 bytes
Modified: 2007年11月17日, 10:06:48
MD5: CBD42479BD49AEB0E839B3D4F116516B
SHA1: F1DC3254693CC11C70BCDCB2EC124BD82E550AC5
CRC32: 9510B8CC
加殼方式:Upack 0.3.9
AV命名:Win32.Logogo.a(瑞星)
1.病毒有兩個參數啓動自身
-down 和-worm分別執行的是下載和感染操作
2.衍生如下副本:
%systemroot%\system\logogogo.exe
在每個磁盤分區根目錄下釋放XP.exe和autorun.inf達到通過移動存儲傳播的目的
3.創建註冊表啓動項目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<logogogo><%systemroot%\system\logogogo.exe> []
達到開機啓動的目的
在HKLM\SOFTWARE下面創建logogo子鍵,用以記錄病毒安裝成功的信息。
4.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面創建映像劫持項目,指向病毒本身。
360rpt.exe
360Safe.exe
360tray.exe
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EGHOST.EXE
ESAFE.EXE
EXPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FESCUE.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
Iparmor.exe
JEDI.EXE
KAV32.exe
KAVPFW.EXE
KAVsvc.exe
KAVSvcUI.exe
KVFW.EXE
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
KVwsc.exe
KvXP.kxp
KWatchUI.EXE
LOCKDOWN2000.EXE
Logo1_.exe
Logo_1.exe
LOOKOUT.EXE
LUALL.EXE
MAILMON.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
Navapsvc.exe
Navapw32.exe
NAVLU32.EXE
NAVNT.EXE
navw32.EXE
NAVWNT.EXE
NISUM.EXE
NMain.exe
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
PFW.EXE
Rav.exe
RAV7.EXE
RAV7WIN.EXE
RAVmon.exe
RAVmonD.exe
RAVtimer.exe
Rising.exe
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
THGUARD.EXE
TrojanHunter.exe
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
修復工具.exe
5.感染除如下文件夾內的*.exe文件
windows
winnt
recycler
system volume information
並不感染如下exe文件
XP.EXE
CA.exe
NMCOSrv.exe
CONFIG.exe
Updater.exe
WE8.exe
settings.exe
PES5.exe
PES6.exe
zhengtu.exe
nettools.exe
laizi.exe
proxy.exe
Launcher.exe
WoW.exe
Repair.exe
BackgroundDownloader.exe
o2_unins_web.exe
O2Jam.exe
O2JamPatchClient.exe
O2ManiaDriverSelect.exe
OTwo.exe
sTwo.exe
GAME2.EXE
GAME3.EXE
Game4.exe
game.exe
hypwise.exe
Roadrash.exe
O2Mania.exe
Lobby_Setup.exe
CoralQQ.exe
QQ.exe
QQexternal.exe
BugReport.exe
tm.exe
ra2.exe
ra3.exe
ra4.exe
ra21006ch.exe
dzh.exe
Findbug.EXE
fb3.exe
Meteor.exe
mir.exe
KartRider.exe
NMService.exe
AdBalloonExt.exe
ztconfig.exe
patchupdate.exe
被感染文件尾部被加入一個名爲.ani的節。被感染文件運行後會釋放一個名爲ani.ani的臨時文件並運行,該文件即爲病毒主體logogogo.exe
6.連接網絡下載***
讀取[url]http://dow.[/url]*.us/xxx.txt的下載列表
然後下載
[url]http://dow.[/url]*.com/1.exe~[url]http://dow.[/url]*.com/20.exe到%systemroot%\system下面
並以SYSTEM128.tmp作爲下載文件過程中的臨時文件
7.病毒同時會獲得當前機器名,操作系統版本,MAC地址等信息
8.病毒體內留有作者留下的廣告信息:“出售下載者 QQ 2892*”
病毒***植入完畢後的sreng日誌如下:
啓動項目
註冊表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxsima.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><%systemroot%\system32\rsmyhpm.dll> []
<{A2AC7E3B-30BE-466f-8BAB-1FF9DADD8C7D}><%systemroot%\system32\KVBatch01.dll> []
<{5A321487-4977-D98A-C8D5-6488257545A5}><%systemroot%\system32\kapjezy.dll> []
<{5A1247C1-53DA-FF43-ABD3-345F323A48D5}><%systemroot%\system32\avwgemn.dll> []
<{6859245F-345D-BC13-AC4F-145D47DA34F6}><%systemroot%\system32\avzxfmn.dll> []
<{4960356A-458E-DE24-BD50-268F589A56A4}><%systemroot%\system32\avwldmn.dll> []
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><%systemroot%\system32\rarjepi.dll> []
<{A6650011-3344-6688-4899-345FABCD156A}><%systemroot%\system32\ratbjpi.dll> []
<{38907901-1416-3389-9981-372178569983}><%systemroot%\system32\kawdczy.dll> []
<{9D561258-45F3-A451-F908-A258458226D9}><%systemroot%\system32\kvdxsima.dll> []
<{44783410-4F90-34A0-7820-3230ACD05F44}><%systemroot%\system32\raqjdpi.dll> []
<{97D81718-1314-5200-2597-587901018079}><%systemroot%\system32\kaqhizy.dll> []
<{38847374-8323-FADC-B443-4732ABCD3783}><%systemroot%\system32\sidjczy.dll> []
<{8D47B341-43DF-4563-753F-345FFA3157D8}><%systemroot%\system32\kvmxhma.dll> []
<{24909874-8982-F344-A322-7898787FA742}><%systemroot%\system32\swjqbzc.dll> []
<{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}><%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
<IFEO[360rpt.exe]><%systemroot%\system\logogogo.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
<IFEO[360Safe.exe]><%systemroot%\system\logogogo.exe> []...
==================================
正在運行的進程
[PID: 1724][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[%systemroot%\system32\rsmyhpm.dll] [N/A, ]
[%systemroot%\system32\KVBatch01.dll] [N/A, ]
[%systemroot%\system32\kapjezy.dll] [N/A, ]
[%systemroot%\system32\avwgemn.dll] [N/A, ]
[%systemroot%\system32\avzxfmn.dll] [N/A, ]
[%systemroot%\system32\avwldmn.dll] [N/A, ]
[%systemroot%\system32\rarjepi.dll] [N/A, ]
[%systemroot%\system32\ratbjpi.dll] [N/A, ]
[%systemroot%\system32\kawdczy.dll] [N/A, ]
[%systemroot%\system32\kvdxsima.dll] [N/A, ]
[%systemroot%\system32\raqjdpi.dll] [N/A, ]
[%systemroot%\system32\kaqhizy.dll] [N/A, ]
[%systemroot%\system32\sidjczy.dll] [N/A, ]
[%systemroot%\system32\kvmxhma.dll] [N/A, ]
[%systemroot%\system32\swjqbzc.dll] [N/A, ]
[%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
%systemroot%\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
%systemroot%\system32\qdshm.dll(, N/A)
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打開(&O)\command=XP.EXE
[D:\]
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打開(&O)\command=XP.EXE...
解決辦法:
下載sreng:[url]http://download.kztechs.com/files/sreng2.zip[/url]
Xdelbox:[url]http://www.dodudou.com/down/[/url]裏面的原創軟件文件夾下
首先重啓計算機進入安全模式下(開機後不斷 按F8鍵 然後出來一個高級菜單 選擇第一項 安全模式 進入系統)
分別解壓Xdelbox和sreng
(注意:如果winrar也被感染,請重裝winrar後再解壓文件,推薦重裝winrar)
1.打開sreng
啓動項目 註冊表 刪除如下項目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe> []
並刪除所有紅色的IFEO項目
修復-系統修復-重置winsock
2.解壓Xdelbox所有文件到一個文件夾
在 添加旁邊的框中 分別輸入
%systemroot%\system32\rsmyhpm.dll
%systemroot%\system32\KVBatch01.dll
%systemroot%\system32\kapjezy.dll
%systemroot%\system32\avwgemn.dll
%systemroot%\system32\avzxfmn.dll
%systemroot%\system32\avwldmn.dll
%systemroot%\system32\rarjepi.dll
%systemroot%\system32\ratbjpi.dll
%systemroot%\system32\kawdczy.dll
%systemroot%\system32\kvdxsima.dll
%systemroot%\system32\raqjdpi.dll
%systemroot%\system32\kaqhizy.dll
%systemroot%\system32\sidjczy.dll
%systemroot%\system32\kvmxhma.dll
%systemroot%\system32\swjqbzc.dll
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
輸入完一個以後 點擊旁邊的添加 按鈕 被添加的文件 將出現在下面的大框中
然後一次性選中 (按住ctrl)下面大框中所有的文件
右鍵 單擊 點擊 重啓立即刪除
3.重啓計算機後
雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 並清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定
點擊 菜單欄下方的 文件夾按鈕(搜索右邊的按鈕)
在左邊的資源管理器中單擊打開系統所在盤
刪除%systemroot%\system\logogogo.exe
%systemroot%\system32\qdshm.dll
在左邊的資源管理器中單擊打開每個盤
刪除各個盤根目錄下的XP.exe和autorun.inf
4.打開sreng
啓動項目 註冊表
雙擊AppInit_DLLs把其鍵值清空
5.使用殺毒軟件全盤殺毒修復被感染的exe文件(如果殺毒軟件也被感染,請重裝殺毒軟件以免造成反覆感染)