- 听众
- 收听
- 积分
- 4966
- 主题
- 回帖
- 0
- 精华
注册时间2007-1-26
最后登录1970-1-1
该用户从未签到
|
这是一个感染型病毒
病毒运行后,先通过GetCommandLine判断是否有参数存在,如果没有,病毒则默认以参数"_sys"利用CreateProcessA进行启动.当病毒以"_sys"启动后,会先自身复制到"%SYSTEMROOT%"\SYSTEM目录中,并改名为logogo.exe.病毒会修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项下建立一个"logogo" = %WINDOWS%\SYSTEM\LOGOGOGO.EXE的子键达到自启动的目的.病毒会使用SetTimer设置一个回调函数,该函数的作用就是每1分钟分别以"down","worm"做为参数,启动病毒,进行感染和下载的操作.病毒还会创建一个线程,线程的作用包括往注册表内写RUN项,获得当前机器名,MAC地址等,但作用未知,也许是作者留着以后备用的.病毒还会在修改注册表SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution里的所有子项里添加Debugger项,指向病毒本身. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.kxp\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wuauclt.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.EXE\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.exe\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.exe\
病毒会在上述键值内,加入 Debugger = "C:\winnt\system\logogo.exe 子键和键值.被修改后,如果运行上述程序,刚被直接指向到C:\winnt\system\logogo.exe这个病毒上面
当病毒以worm参数进行启动时,病毒的工作为感染全盘后缀为exe的文件,并在所有FIX_DISK盘符内写入autorun.inf和病毒本身(病毒被改名来XP.exe).其中autorun.inf的内容为:
[AutoRun]
OPEN=XP.EXE
shellexecute=XP.EXE
shell\打开(&O)\command=XP.EXE
病毒在感染文件时,会遍历该文件的节名,当发现节名中存在"ani"时,就会跳过该文件,继续感染下一个.
当病毒以down参数进行启动时.病毒会先利用InternetGetConnectedState检测网络状态,再利用InternetReadFile从网址 下载病毒,并保存在C:\WINNT\system\SYSTEM128.VXD位置上,并使用Winexec运行该病毒. |
|