|
| logogogo最新变种XP.exe的分析(Win32.Logogo)(附专杀) |
| 作者 depressedboy 查看 1895 发表时间 2007/11/17 19:31 【论坛浏览】 |
|
日期:2007/11/17 (转载请保留此声明) gtkhxuihg gtkhxuihg 这是之前logogo.exe病毒的最新变种,此次变种可谓是该系列病毒的一个标志性的变种,如同原先的crsss化身成为“禽兽”病毒一样...gtkhxuihg gtkhxuihg 技术细节:gtkhxuihg File: logogogo.exegtkhxuihg Size: 17196 bytesgtkhxuihg Modified: 2007年11月17日, 10:06:48gtkhxuihg MD5: CBD42479BD49AEB0E839B3D4F116516Bgtkhxuihg SHA1: F1DC3254693CC11C70BCDCB2EC124BD82E550AC5gtkhxuihg CRC32: 9510B8CCgtkhxuihg 加壳方式:Upack 0.3.9 gtkhxuihg AV命名:Win32.Logogo.a(瑞星)gtkhxuihg gtkhxuihg 1.病毒有两个参数启动自身gtkhxuihg -down 和-worm分别执行的是下载和感染操作gtkhxuihg gtkhxuihg 2.衍生如下副本:gtkhxuihg %systemroot%\system\logogogo.exegtkhxuihg 在每个磁盘分区根目录下释放XP.exe和autorun.inf达到通过移动存储传播的目的gtkhxuihg gtkhxuihg 3.创建注册表启动项目gtkhxuihg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Rungtkhxuihg 达到开机启动的目的gtkhxuihg 在HKLM\SOFTWARE下面创建logogo子键,用以记录病毒安装成功的信息。gtkhxuihg gtkhxuihg 4.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目,指向病毒本身。gtkhxuihg 360rpt.exegtkhxuihg 360Safe.exegtkhxuihg 360tray.exegtkhxuihg ACKWIN32.EXEgtkhxuihg ANTI-TROJAN.EXEgtkhxuihg APVXDWIN.EXEgtkhxuihg AUTODOWN.EXEgtkhxuihg AVCONSOL.EXEgtkhxuihg AVE32.EXEgtkhxuihg AVGCTRL.EXEgtkhxuihg AVKSERV.EXEgtkhxuihg AVNT.EXEgtkhxuihg AVP.EXEgtkhxuihg AVP32.EXEgtkhxuihg AVPCC.EXEgtkhxuihg AVPDOS32.EXEgtkhxuihg AVPM.EXEgtkhxuihg AVPTC32.EXEgtkhxuihg AVPUPD.EXEgtkhxuihg AVSCHED32.EXEgtkhxuihg AVWIN95.EXEgtkhxuihg AVWUPD32.EXEgtkhxuihg BLACKD.EXEgtkhxuihg BLACKICE.EXEgtkhxuihg CFIADMIN.EXEgtkhxuihg CFIAUDIT.EXEgtkhxuihg CFINET.EXEgtkhxuihg CFINET32.EXEgtkhxuihg CLAW95.EXEgtkhxuihg CLAW95CF.EXEgtkhxuihg CLEANER.EXEgtkhxuihg CLEANER3.EXEgtkhxuihg DVP95.EXEgtkhxuihg DVP95_0.EXEgtkhxuihg ECENGINE.EXEgtkhxuihg EGHOST.EXEgtkhxuihg ESAFE.EXEgtkhxuihg EXPWATCH.EXEgtkhxuihg F-AGNT95.EXEgtkhxuihg F-PROT.EXEgtkhxuihg F-PROT95.EXEgtkhxuihg F-STOPW.EXEgtkhxuihg FESCUE.EXEgtkhxuihg FINDVIRU.EXEgtkhxuihg FP-WIN.EXEgtkhxuihg FPROT.EXEgtkhxuihg FRW.EXEgtkhxuihg IAMAPP.EXEgtkhxuihg IAMSERV.EXEgtkhxuihg IBMASN.EXEgtkhxuihg IBMAVSP.EXEgtkhxuihg ICLOAD95.EXEgtkhxuihg ICLOADNT.EXEgtkhxuihg ICMON.EXEgtkhxuihg ICSUPP95.EXEgtkhxuihg ICSUPPNT.EXEgtkhxuihg IFACE.EXEgtkhxuihg IOMON98.EXEgtkhxuihg Iparmor.exegtkhxuihg JEDI.EXEgtkhxuihg KAV32.exegtkhxuihg KAVPFW.EXEgtkhxuihg KAVsvc.exegtkhxuihg KAVSvcUI.exegtkhxuihg KVFW.EXEgtkhxuihg KVMonXP.exegtkhxuihg KVMonXP.kxpgtkhxuihg KVSrvXP.exegtkhxuihg KVwsc.exegtkhxuihg KvXP.kxpgtkhxuihg KWatchUI.EXEgtkhxuihg LOCKDOWN2000.EXEgtkhxuihg Logo1_.exegtkhxuihg Logo_1.exegtkhxuihg LOOKOUT.EXEgtkhxuihg LUALL.EXEgtkhxuihg MAILMON.EXEgtkhxuihg MOOLIVE.EXEgtkhxuihg MPFTRAY.EXEgtkhxuihg N32SCANW.EXEgtkhxuihg Navapsvc.exegtkhxuihg Navapw32.exegtkhxuihg NAVLU32.EXEgtkhxuihg NAVNT.EXEgtkhxuihg navw32.EXEgtkhxuihg NAVWNT.EXEgtkhxuihg NISUM.EXEgtkhxuihg NMain.exegtkhxuihg NORMIST.EXEgtkhxuihg NUPGRADE.EXEgtkhxuihg NVC95.EXEgtkhxuihg PAVCL.EXEgtkhxuihg PAVSCHED.EXEgtkhxuihg PAVW.EXEgtkhxuihg PCCWIN98.EXEgtkhxuihg PCFWALLICON.EXEgtkhxuihg PERSFW.EXEgtkhxuihg PFW.EXEgtkhxuihg Rav.exegtkhxuihg RAV7.EXEgtkhxuihg RAV7WIN.EXEgtkhxuihg RAVmon.exegtkhxuihg RAVmonD.exegtkhxuihg RAVtimer.exegtkhxuihg Rising.exegtkhxuihg SAFEWEB.EXEgtkhxuihg SCAN32.EXEgtkhxuihg SCAN95.EXEgtkhxuihg SCANPM.EXEgtkhxuihg SCRSCAN.EXEgtkhxuihg SERV95.EXEgtkhxuihg SMC.EXEgtkhxuihg SPHINX.EXEgtkhxuihg SWEEP95.EXEgtkhxuihg TBSCAN.EXEgtkhxuihg TCA.EXEgtkhxuihg TDS2-98.EXEgtkhxuihg TDS2-NT.EXEgtkhxuihg THGUARD.EXEgtkhxuihg TrojanHunter.exegtkhxuihg VET95.EXEgtkhxuihg VETTRAY.EXEgtkhxuihg VSCAN40.EXEgtkhxuihg VSECOMR.EXEgtkhxuihg VSHWIN32.EXEgtkhxuihg VSSTAT.EXEgtkhxuihg WEBSCANX.EXEgtkhxuihg WFINDV32.EXEgtkhxuihg ZONEALARM.EXEgtkhxuihg _AVP32.EXEgtkhxuihg _AVPCC.EXEgtkhxuihg _AVPM.EXEgtkhxuihg 修复工具.exegtkhxuihg gtkhxuihg 5.感染除如下文件夹内的*.exe文件gtkhxuihg windowsgtkhxuihg winntgtkhxuihg recyclergtkhxuihg system volume informationgtkhxuihg gtkhxuihg 并不感染如下exe文件gtkhxuihg XP.EXE gtkhxuihg CA.exe gtkhxuihg NMCOSrv.exe gtkhxuihg CONFIG.exe gtkhxuihg Updater.exe gtkhxuihg WE8.exe gtkhxuihg settings.exe gtkhxuihg PES5.exe gtkhxuihg PES6.exe gtkhxuihg zhengtu.exegtkhxuihg nettools.exe gtkhxuihg laizi.exe gtkhxuihg proxy.exe gtkhxuihg Launcher.exe gtkhxuihg WoW.exe gtkhxuihg Repair.exe gtkhxuihg BackgroundDownloader.exegtkhxuihg o2_unins_web.exe gtkhxuihg O2Jam.exe gtkhxuihg O2JamPatchClient.exe gtkhxuihg O2ManiaDriverSelect.exe gtkhxuihg OTwo.exe gtkhxuihg sTwo.exegtkhxuihg GAME2.EXE gtkhxuihg GAME3.EXE gtkhxuihg Game4.exe gtkhxuihg game.exe gtkhxuihg hypwise.exe gtkhxuihg Roadrash.exe gtkhxuihg O2Mania.exe gtkhxuihg Lobby_Setup.exegtkhxuihg CoralQQ.exe gtkhxuihg QQ.exe gtkhxuihg QQexternal.exe gtkhxuihg BugReport.exe gtkhxuihg tm.exe gtkhxuihg ra2.exe gtkhxuihg ra3.exe gtkhxuihg ra4.exe gtkhxuihg ra21006ch.exegtkhxuihg dzh.exe gtkhxuihg Findbug.EXE gtkhxuihg fb3.exe gtkhxuihg Meteor.exe gtkhxuihg mir.exe gtkhxuihg KartRider.exe gtkhxuihg NMService.exe gtkhxuihg AdBalloonExt.exegtkhxuihg ztconfig.exe gtkhxuihg patchupdate.exegtkhxuihg gtkhxuihg 被感染文件尾部被加入一个名为.ani的节。被感染文件运行后会释放一个名为ani.ani的临时文件并运行,该文件即为病毒主体logogogo.exegtkhxuihg gtkhxuihg 6.连接网络下载木马gtkhxuihg 读取http://dow.*.us/xxx.txt的下载列表gtkhxuihg 然后下载gtkhxuihg http://dow.*.com/1.exe~http://dow.*.com/20.exe到%systemroot%\system下面gtkhxuihg 并以SYSTEM128.tmp作为下载文件过程中的临时文件gtkhxuihg gtkhxuihg 7.病毒同时会获得当前机器名,操作系统版本,MAC地址等信息gtkhxuihg gtkhxuihg 8.病毒体内留有作者留下的广告信息:“出售下载者 QQ 2892*”gtkhxuihg gtkhxuihg
2007-11-17 16:33gtkhxuihg gtkhxuihg gtkhxuihg gtkhxuihg 病毒木马植入完毕后的sreng日志如下:gtkhxuihg gtkhxuihg 启动项目gtkhxuihg 注册表gtkhxuihg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] gtkhxuihg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]gtkhxuihg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]gtkhxuihg <{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><%systemroot%\system32\rsmyhpm.dll> []gtkhxuihg <{A2AC7E3B-30BE-466f-8BAB-1FF9DADD8C7D}><%systemroot%\system32\KVBatch01.dll> []gtkhxuihg <{5A321487-4977-D98A-C8D5-6488257545A5}><%systemroot%\system32\kapjezy.dll> []gtkhxuihg <{5A1247C1-53DA-FF43-ABD3-345F323A48D5}><%systemroot%\system32\avwgemn.dll> []gtkhxuihg <{6859245F-345D-BC13-AC4F-145D47DA34F6}><%systemroot%\system32\avzxfmn.dll> []gtkhxuihg <{4960356A-458E-DE24-BD50-268F589A56A4}><%systemroot%\system32\avwldmn.dll> []gtkhxuihg <{5598FF45-DA60-F48A-BC43-10AC47853D55}><%systemroot%\system32\rarjepi.dll> []gtkhxuihg <{A6650011-3344-6688-4899-345FABCD156A}><%systemroot%\system32\ratbjpi.dll> []gtkhxuihg <{38907901-1416-3389-9981-372178569983}><%systemroot%\system32\kawdczy.dll> []gtkhxuihg <{9D561258-45F3-A451-F908-A258458226D9}><%systemroot%\system32\kvdxsima.dll> []gtkhxuihg <{44783410-4F90-34A0-7820-3230ACD05F44}><%systemroot%\system32\raqjdpi.dll> []gtkhxuihg <{97D81718-1314-5200-2597-587901018079}><%systemroot%\system32\kaqhizy.dll> []gtkhxuihg <{38847374-8323-FADC-B443-4732ABCD3783}><%systemroot%\system32\sidjczy.dll> []gtkhxuihg <{8D47B341-43DF-4563-753F-345FFA3157D8}><%systemroot%\system32\kvmxhma.dll> []gtkhxuihg <{24909874-8982-F344-A322-7898787FA742}><%systemroot%\system32\swjqbzc.dll> []gtkhxuihg <{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}><%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys> []gtkhxuihg gtkhxuihg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]gtkhxuihg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]gtkhxuihg gtkhxuihg ==================================gtkhxuihg 正在运行的进程gtkhxuihg [PID: 1724][%systemroot%\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]gtkhxuihg [%systemroot%\system32\rsmyhpm.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\KVBatch01.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\kapjezy.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\avwgemn.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\avzxfmn.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\avwldmn.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\rarjepi.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\ratbjpi.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\kawdczy.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\kvdxsima.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\raqjdpi.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\kaqhizy.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\sidjczy.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\kvmxhma.dll] [N/A, ]gtkhxuihg [%systemroot%\system32\swjqbzc.dll] [N/A, ]gtkhxuihg [%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]gtkhxuihg ==================================gtkhxuihg Winsock 提供者gtkhxuihg MSAPI Tcpip [TCP/IP]gtkhxuihg %systemroot%\system32\qdshm.dll(, N/A)gtkhxuihg MSAPI Tcpip [UDP/IP]gtkhxuihg %systemroot%\system32\qdshm.dll(, N/A)gtkhxuihg ==================================gtkhxuihg Autorun.infgtkhxuihg [C:\]gtkhxuihg [AutoRun]gtkhxuihg OPEN=XP.EXEgtkhxuihg shellexecute=XP.EXEgtkhxuihg shell\打开(&O)\command=XP.EXEgtkhxuihg [D:\]gtkhxuihg [AutoRun]gtkhxuihg OPEN=XP.EXEgtkhxuihg shellexecute=XP.EXEgtkhxuihg shell\打开(&O)\command=XP.EXE...gtkhxuihg gtkhxuihg 解决办法:gtkhxuihg 下载sreng:http://download.kztechs.com/files/sreng2.zipgtkhxuihg Xdelbox:http://www.dodudou.com/down/里面的原创软件文件夹下gtkhxuihg gtkhxuihg 首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)gtkhxuihg 分别解压Xdelbox和srenggtkhxuihg (注意:如果winrar也被感染,请重装winrar后再解压文件,推荐重装winrar)gtkhxuihg gtkhxuihg 1.打开srenggtkhxuihg gtkhxuihg 启动项目 注册表 删除如下项目 gtkhxuihg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] gtkhxuihg gtkhxuihg 并删除所有红色的IFEO项目gtkhxuihg gtkhxuihg 修复-系统修复-重置winsockgtkhxuihg gtkhxuihg 2.解压Xdelbox所有文件到一个文件夹gtkhxuihg gtkhxuihg 在 添加旁边的框中 分别输入gtkhxuihg %systemroot%\system32\rsmyhpm.dllgtkhxuihg %systemroot%\system32\KVBatch01.dllgtkhxuihg %systemroot%\system32\kapjezy.dllgtkhxuihg %systemroot%\system32\avwgemn.dllgtkhxuihg %systemroot%\system32\avzxfmn.dllgtkhxuihg %systemroot%\system32\avwldmn.dllgtkhxuihg %systemroot%\system32\rarjepi.dllgtkhxuihg %systemroot%\system32\ratbjpi.dllgtkhxuihg %systemroot%\system32\kawdczy.dllgtkhxuihg %systemroot%\system32\kvdxsima.dllgtkhxuihg %systemroot%\system32\raqjdpi.dllgtkhxuihg %systemroot%\system32\kaqhizy.dllgtkhxuihg %systemroot%\system32\sidjczy.dllgtkhxuihg %systemroot%\system32\kvmxhma.dllgtkhxuihg %systemroot%\system32\swjqbzc.dllgtkhxuihg %Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sysgtkhxuihg 输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中gtkhxuihg 然后一次性选中 (按住ctrl)下面大框中所有的文件gtkhxuihg 右键 单击 点击 重启立即删除gtkhxuihg gtkhxuihg 3.重启计算机后 gtkhxuihg 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定gtkhxuihg 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)gtkhxuihg 在左边的资源管理器中单击打开系统所在盘gtkhxuihg 删除%systemroot%\system\logogogo.exegtkhxuihg %systemroot%\system32\qdshm.dllgtkhxuihg gtkhxuihg 在左边的资源管理器中单击打开每个盘gtkhxuihg 删除各个盘根目录下的XP.exe和autorun.infgtkhxuihg gtkhxuihg 4.打开sreng gtkhxuihg gtkhxuihg 启动项目 注册表 gtkhxuihg 双击AppInit_DLLs把其键值清空gtkhxuihg gtkhxuihg 5.使用杀毒软件全盘杀毒修复被感染的exe文件(如果杀毒软件也被感染,请重装杀毒软件以免造成反复感gtkhxuihg gtkhxuihg gtkhxuihg 附件: gtkhxuihg logogogo__.zipgtkhxuihg 2007/11/23 18:21, 285.24 KB, 下载次数: 40gtkhxuihg gtkhxuihg gtkhxuihg 下载 dr.web 全盘扫描一遍gtkhxuihg ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exegtkhxuihg Dr.Web CureIT 4.44gtkhxuihg gtkhxuihg 修复受感染的文件 |
| 序号 | 评论者 | 共有评论 5 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | tfnyga | 感染EXE文件的病毒特别的让人心烦 | 2007/11/19 01:05 |
| 2 | depressedboy | 回复 3楼 的帖子 感染了让你无法修复。。。。 |
2007/11/21 23:39 |
| 3 | depressedboy | 让人想起了那个熊猫。。。:/(26: | 2007/11/21 23:39 |
| 4 | see360 | 正好在找 | 2007/12/29 10:03 |
| 5 | bobo781003 | 支持哟~~~~~~~~~~~~~~~~~~~~~~~~~~~ | 2008/2/8 10:22 |
共有评论数 5 每页显示 10
|
|||
