基本介紹
- 中文名:LOGOGO
- 外文名:Win32.Logogo.a
- 危險等級:三星
- 類型:病毒
- 感染系統:windowXP/NT/03/00
- 傳播級別:GAO
病毒信息,病毒介紹,清除方式,
病毒信息
傳播級別:高
全球化傳播態勢:低
清除難度:困難
破壞力:高
破壞手段:感染EXE檔案
病毒介紹
這是一個感染型病毒
病毒運行後,先通過GetCommandLine判斷是否有參數存在,如果沒有,病毒則默認以參數"_sys"利用CreateProcessA進行啟動.當病毒以"_sys"啟動後,會先自身複製到"%SYSTEMROOT%"\SYSTEM目錄中,並改名為logogo.exe.病毒會修改註冊表, 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run項下建立一個 "logogo" = %WINDOWS%\SYSTEM\LOGOGOGO.EXE的子鍵達到自啟動的目的.病毒會使用SetTimer設定一個回調函式,該函式的作用就是每 1分鐘分別以"down","worm"做為參數,啟動病毒,進行感染和下載的操作.病毒還會創建一個執行緒,執行緒的作用包括往註冊表內寫RUN項,獲得當前機器名,MAC地址等,但作用未知,也許是作者留著以後備用的.病毒還會在修改註冊表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution里的所有子項里添加Debugger項,指向病毒本身.
Options0rpt.EXE\
Options0safe.EXE\
Options0tray.EXE\
Options\AVP.EXE\
Options\CCenter.EXE\
Options\IceSword.EXE\
Options\Iparmor.EXE\
Options\KVMonxp.kxp\
Options\KVSrvXP.EXE\
Options\KVWSC.EXE\
Options\Nod32kui.EXE\
Options\Mmsk.EXE\
Options\Wuauclt.EXE\
Options\Ast.EXE\
Options\WOPTILITIES.EXE
Options\Regedit.EXE\
Options\AutoRunKiller.exe\
Options\VPC32.exe\
Options\VPTRAY.exe\
病毒會在上述鍵值內,加入 Debugger = "C:\winnt\system\logogo.exe 子鍵和鍵值.被修改後,如果運行上述程式,剛被直接指向到C:\winnt\system\logogo.exe這個病毒上面
當病毒以worm參數進行啟動時,病毒的工作為感染全盤後綴為exe的檔案,並在所有FIX_DISK盤符內寫入autorun.inf和病毒本身(病毒被改名來XP.exe).其中autorun.inf的內容為:
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打開(&O)\command=XP.EXE
病毒在感染檔案時,會遍歷該檔案的節名,當發現節名中存在"ani"時,就會跳過該檔案,繼續感染下一個.
當病毒以down參數進行啟動時.病毒會先利用InternetGetConnectedState檢測網路狀態,再利用 InternetReadFile從網址http://x.XXXX.com/test.jpg下載病毒,並保存在C:\WINNT\system\ SYSTEM128.VXD位置上,並使用Winexec運行該病毒.
清除方式
半手工清除logogog造成的1_.ii病毒的方法
CHN_HACKER原創
1_.ii是一個威力中等的病毒,其發作特徵為:
1.打開執行檔exe後,發現多了一個1_.ii,這就是病毒的副本;
2.裝了實時監控的防毒軟體後,可能所有exe檔案會打不開,同時提示:“windows無法打開此項目,您可能沒有合適的許可權訪問該項目。”這是因為打開exe執行檔後,病毒會自動創建副本,被防毒軟體截獲後,不允許用戶打開。
這種病毒清除起來有些麻煩,如果用防毒軟體是行不通的。如果用瑞星,會每殺到一個執行檔都會提示有病毒,而且防毒軟體本身也會染毒,並且無法清除。即使殺完一遍,也無濟於事。如果用卡巴斯基,會把染毒檔案一起刪除,你的損失無法估量。該怎樣清除呢?下面我來一步步介紹。
1.在開始——運行中輸入MSCONFIG,打開系統配置實用程式,在“一般”頁中選擇“診斷啟動”;選擇“啟動”頁,把相應的啟動項的勾去掉。這種病毒一般是由於惡意軟體logogo造成的,把相應的logogo前的勾去掉,重啟。
3.開機時按F8,進入安全模式。按ctrl+alt+del組合鍵,彈出任務管理器,在“進程”頁中找到logogo.exe和cmd.exe,結束進程。(如沒有logogo,可以不理會)
5.防毒結束後,請用360安全衛士等工具查殺木馬。可能360也會被感染,所以最好重裝防毒軟體和已經損壞的程式。
6.在開始——運行中輸入regsvr32 vbscript.dll修復受損的IE。