危险等级:★★★
病毒名称:Win32.Logogo.a
类型:病毒
感染的操作系统: Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况传播级别:高
全球化传播态势:低
清除难度:困难
破坏力:高
破坏手段:感染EXE文件
这是一个感染型病毒
病毒运行后,先通过GetCommandLine判断是否有参数存在,如果没有,病毒则默认以参数"_sys"利用CreateProcessA进行启动.当病毒以"_sys"启动后,会先自身复制到"%SYSTEMROOT%"SYSTEM目录中,并改名为logogo.exe.病毒会修改注册表, 在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun项下建立一个 "logogo" = %WINDOWS%SYSTEMLOGOGOGO.EXE的子键达到自启动的目的.病毒会使用SetTimer设置一个回调函数,该函数的作用就是每 1分钟分别以"down","worm"做为参数,启动病毒,进行感染和下载的操作.病毒还会创建一个线程,线程的作用包括往注册表内写RUN项,获得当前机器名,MAC地址等,但作用未知,也许是作者留着以后备用的.病毒还会在修改注册表SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution里的所有子项里添加Debugger项,指向病毒本身.
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options0rpt.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options0safe.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options0tray.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAVP.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAvMonitor.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIparmor.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVMonxp.kxp
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVSrvXP.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVWSC.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNavapsvc.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNod32kui.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRegEx.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFrameworkservice.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMmsk.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsWuauclt.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAst.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsWOPTILITIES.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRegedit.EXE
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAutoRunKiller.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsVPC32.exe
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsVPTRAY.exe
病毒会在上述键值内,加入 Debugger = "C:winntsystemlogogo.exe 子键和键值.被修改后,如果运行上述程序,刚被直接指向到C:winntsystemlogogo.exe这个病毒上面
当病毒以worm参数进行启动时,病毒的工作为感染全盘后缀为exe的文件,并在所有FIX_DISK盘符内写入autorun.inf和病毒本身(病毒被改名来XP.exe).其中autorun.inf的内容为:
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell打开(&O)command=XP.EXE
病毒在感染文件时,会遍历该文件的节名,当发现节名中存在"ani"时,就会跳过该文件,继续感染下一个.
当病毒以down参数进行启动时.病毒会先利用InternetGetConnectedState检测网络状态,再利用 InternetReadFile从网址http://x.XXXX.com/test.jpg下载病毒,并保存在C:WINNTsystem SYSTEM128.VXD位置上,并使用Winexec运行该病毒.
半手工清除logogog造成的1_.ii病毒的方法
CHN_HACKER原创
1_.ii是一个威力中等的病毒,其发作特征为:
1.打开可执行文件exe后,发现多了一个1_.ii,这就是病毒的副本;
2.装了实时监控的杀毒软件后,可能所有exe文件会打不开,同时提示:“windows无法打开此项目,您可能没有合适的权限访问该项目。”这是因为打开exe可执行文件后,病毒会自动创建副本,被杀毒软件截获后,不允许用户打开。
这种病毒清除起来有些麻烦,如果用杀毒软件是行不通的。如果用瑞星,会每杀到一个可执行文件都会提示有病毒,而且杀毒软件本身也会染毒,并且无法清除。即使杀完一遍,也无济于事。如果用卡巴斯基,会把染毒文件一起删除,你的损失无法估量。该怎样清除呢?下面我来一步步介绍。
1.在开始——运行中输入MSCONFIG,打开系统配置实用程序,在“一般”页中选择“诊断启动”;选择“启动”页,把相应的启动项的勾去掉。这种病毒一般是由于恶意软件logogo造成的,把相应的logogo前的勾去掉,重启。
2.在我的网盘http://chn-hacker.ys168.com/下载专杀工具,重启。
3.开机时按F8,进入安全模式。按ctrl+alt+del组合键,弹出任务管理器,在“进程”页中找到logogo.exe和cmd.exe,结束进程。(如没有logogo,可以不理会)
4.在安全模式下运行专杀工具。这里要注意,由于病毒本身有问题,导致部分exe可执行文件被感染后无法修复,只能重新安装。
5.杀毒结束后,请用360安全卫士等工具查杀木马。可能360也会被感染,所以最好重装杀毒软件和已经损坏的程序。
6.在开始——运行中输入regsvr32 vbscript.dll修复受损的IE。
