“LOGOGO”病毒技术细节

感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：高

全球化传播态势：低

清除难度：困难

破坏力：高

破坏手段：感染EXE文件

这是一个感染型病毒

    病毒运行后,先通过GetCommandLine判断是否有参数存在,如果没有,病毒则默认以参数"_sys"利用CreateProcessA进行启动.当病毒以"_sys"启动后,会先自身复制到"%SYSTEMROOT%"\SYSTEM目录中,并改名为logogo.exe.病毒会修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项下建立一个"logogo" = %WINDOWS%\SYSTEM\LOGOGOGO.EXE的子键达到自启动的目的.病毒会使用SetTimer设置一个回调函数,该函数的作用就是每1分钟分别以"down","worm"做为参数,启动病毒,进行感染和下载的操作.病毒还会创建一个线程,线程的作用包括往注册表内写RUN项,获得当前机器名,MAC地址等,但作用未知,也许是作者留着以后备用的.病毒还会在修改注册表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution里的所有子项里添加Debugger项,指向病毒本身.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE\
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.kxp\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE\
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE\
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wuauclt.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.exe\

    病毒会在上述键值内,加入 Debugger = "C:\winnt\system\logogo.exe 子键和键值.被修改后,如果运行上述程序,刚被直接指向到C:\winnt\system\logogo.exe这个病毒上面

    当病毒以worm参数进行启动时,病毒的工作为感染全盘后缀为exe的文件,并在所有FIX_DISK盘符内写入autorun.inf和病毒本身(病毒被改名来XP.exe).其中autorun.inf的内容为:
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE

    病毒在感染文件时,会遍历该文件的节名,当发现节名中存在"ani"时,就会跳过该文件,继续感染下一个.

    当病毒以down参数进行启动时.病毒会先利用InternetGetConnectedState检测网络状态,再利用InternetReadFile从网http://x.XXXX.com/test.jpg下载病毒,并保存在C:\WINNT\system\SYSTEM128.VXD位置上,并使用Winexec运行该病毒.

安全建议：

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    瑞星杀毒软件清除办法：

    安装瑞星杀毒软件，升级到20.18.32版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。



	会员登录：